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Partea I. introducere în Samba 


Capitolul 1. introducere în samba 
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Această introducere la serverul samba explică simplu cum să instalăm samba 3 şi 
menționează pe scurt protocolul SMB. 


1.1. verificarea versiunii instalate 
distribuții bazate pe .rpm 


Pentru a vedea versiunea samba instalată pe Red Hat, Fedora sau Centos folosiți 
rpm -q samba. 


[rootQRHEL52 -]+ rpm -q samba 
samba-3.0.28-1.e15_2.1 


Screenshot-ul de mai sus arată că RHEL5 are instalată samba versiunea 3.0. 
Ultimul număr în versiunea samba semnifică numărul actualizărilor sau a patch- 
urilor. 


Mai jos este aceeaşi comandă pe o versiune mai recentă a Centos intalată cu 
versiunea samba 3.5. 


[rootecentos6 =] rpm -q samba 
samba-3.5.10-116.e16_2.1686 


distribuții bazate pe .deb 


Folosiţi dpkg -l sau aptitude show pe Debian sau Ubuntu. Şi Debian 7.0 (wheezy) 
şi Ubuntu 12.04 (Precise) folosesc versiunea serverului samba 3.6.3 


rootedebian7-t aptitude show samba | grep Version 
Version: 2:3.6.3-1 


Ubuntu 12.04 este în mod curent la versiunea samba 3.6.3. 


rootâubul204:-4 dpkg -l samba | tail -1 
ii samba 2:3.6.3-2ubuntu2.1 SMB/CIFS file, print, and login server for Unix 


1.2. instalare samba 

distribuții bazate pe .rpm 

samba este instalată prin default pe Red Hat Enterprise Linux. Dacă samba nu 
este încă instalată, atunci puteți folosi meniul grafic (Applications -- System 
Settings --Add/Remove Applications) şi să selectaţi "Windows File Server" în 


secțiunea Server. Modalitatea non-grafică este să utilizați rpm sau yum. 


Cînd aţi downloadat fişierul .rpm, puteți instala samba astfel. 
[pauleRHEL52 =]$ rpm -i samba-3.0.28-1.e15_2.1.rpm 
Cînd aveți o subscriere la RHN (Red Hat Network), atunci yum este un utilitar 


uşor de folosit. Această comandă yum funcționează prin default pe Fedora şi 
Centos. 


[rootecentos6 =] yum install samba 
distribuții bazate pe .deb 


Utilizatorii Ubuntu şi Debian pot folosi programul aptitude (sau să folosească 
un utilitar grafic ca Synaptic). 


rootâdebian?-t aptitude install samba 

The following NEW packages will be installed: 

samba samba-common(a! samba-common-binţayY tdb-toolsfa) 

O packages upgraded, 4 newly installed, 0 to remove and 1 not upgraded. 
Need to get 15.1 MB of archives. After unpacking 42.9 MB will be used. 
Do you want to continue? [Y/n/?] 


1.3. documentație 


samba howto 


samba vine cu documentaţie excelentă în format html şi pdf (şi de asemeni ca 
download gratuit de pe samba.org şi este de vînzare ca şi carte imprimată). 


Documentaţia este un pachet separat, aşa că instalaţți-o dacă o vreți pe server. 
[rootecentos6-]t yum install samba-doc 


[rootecentos6-]t Is -l /usr/share/doc/samba-doc-3.5.10/ 
total 10916 


drwxr-xr-x. 6 root root 4096 May 6 15:50 htmldocs 

-rw-r--r--. 1 root root 4605496 Jun 14 2011  Samba3-ByExample.pdf 
-rw-r--r--. 1 root root 608260 Jun 14 2011  Samba3-Developers-Guide.pdf 
-rw-r--r--. 1 root root 5954602 Jun 14 2011  Samba3-HOWTO.pdf 


Această acțiune este foarte asemănătoare pe Ubuntu şi Debian cu excepția 
faptului că fişierele pdf sînt într-un pachet separat numit samba-doc-pdf. 


rootQubul204:-t aptitude install samba-doc-pdf 
The following NEW packages will be installed: 
samba-doc-pdf 


samba prin exemple 

în afară de howto, există de asemeni o carte excelentă numită Samba By Example 
(din nou disponibilă ca ediție imprimată în librării, şi ca pdf şi html 
gratuit). 

1.4. pornire şi închidere samba 


Puteți porni daemonii invocînd /etc/init.d/smb start (unele sisteme folosesc 
/etc/init.d/samba) pe orice linux. 


rootelaika:-4 /etc/init.d/samba stop 


x Stopping Samba daemons [ OK ] 
rootalaika:-t /etc/init.d/samba start 

x Starting Samba daemons [ OK |] 
rootâlaika:-t /etc/init.d/samba restart 

x Stopping Samba daemons [ OK ] 
x Starting Samba daemons [ OK |] 
rootalaika:-t /etc/init.d/samba status 

x SMBD is running [ OK |] 


Sistemele derivate Red Hat sînt mulțumite cu service smb start. 


[rootQRHEL4b -]+ /etc/init.d/smb start 

Starting SMB services: [L OK ] 
Starting NMB services: [OK |] 
[rootQRHEL4b =] service smb restart 


Shutting down SMB services: [ OK |] 
Shutting down NMB services: [ OK |] 
Starting SMB services: [ OK |] 
Starting NMB services: [ OK |] 


[rootQRHEL4b -]+% 

1.5. daemoni samba 

samba 3 conţine trei daemoni, ei sînt numiți nmbd, smbd şi winbindd. 

nmbd 

Daemonul nmbd are grijă de toate numele şi denumirile. El înregistrează şi 
rezolvă nume, şi se ocupă cu navigarea. După documentația samba, el ar trebui să 


fie primul daemon de pornit. 


[rootQRHEL52 -]t ps -C nmbd 


PID TTY TIME CMD 
5681 7? 00:00:00 nmbd 
smbd 


Daemonul smbd se ocupă de transferuri de fişiere şi autentificare. 


[rootQRHEL52 -]+ ps -C smbd 


PID TTY TIME CMD 
5678 7? 00:00:00 smbd 
5683 ? 00:00:00 smbd 
winbindd 


daemonul winbind (winbindd) este pornit doar pentru a se ocupa de membrul 
domeniu Microsoft Windows. 


Notați că winbindd este pornit de scriptul /etc/init.d/winbind (doi d - pentru 
daemon şi doar un d pentru script). 


[rootQRHEL52 -]+ /etc/init.d/winbind start 


Starting Winbind services: [ OK |] 
[rooteRHEL52 -]+ ps -C winbindd 

PID TTY TIME  CMD 

5752 ? 00:00:00 winbindd 

5754 ? 00:00:00 winbindd 


Pe Debian şi Ubuntu, daemonul winbindd este instalat printr-un pachet separat 
numit winbind. 


1.6. protocolul SMB 

scurtă istorie 

Dezvoltarea acestui protocol a fost inițiat de IMB la începuturile anilor 1980. 
La sfîrşitul anilor '80, cea mai mare parte a dezvoltării a fost făcută de 


Microsoft. SMB este un protocol de nivel aplicație proiectat pentru a se executa 
deasupra NetBIOS/NetBEUI, dar poate fi de asemeni executat deasupra tcp/ip. 


9 


În 1996 s-a cerut ca Microsoft să documenteze protocolul. Ei au dat CIFS (Common 
Internet File System) ca o schiță internet, dar ea nu a avut niciodată statut 
final rfc. 


În 2004 Uniunea Europeană a decis că Microsoft ar trebui să facă documentația 
protocolului pentru a permite altor dezvoltatori să scrie software compatibil. 
În 20 decembrie 2007 Microsoft a căzut de acord. Echipa samba acum are acces la 
documentația SMB/CIFS, Windows for Workgroups şi Active Directory. 


protocol broadcasting 

SMB foloseşte protocolul locaţie serviciu NetBIOS, care este un protocol 
broadcast. Asta înseamnă că numele NetBIOS trebuie să fie unice pe rețea (chiar 
dacă avem adrese ip diferite). A avea mai multe nume pe o reţea SMB pote dăuna 
în mod serios comunicației. 

nume NetBIOS 

Numele NetBIOS sînt similare cu hostnames (nume de maşini), dar sînt întotdeauna 
scrise cu literă mare şi au doar 15 caractere. Computerele Microsoft Windows şi 
serverele samba vor difuza acest nume pe reţea. 

lăţime de bandă în rețea 

A avea multe computere care difuzează SMB/CIFS pe rețea poate avea ca efect 


probleme de lățime de bandă. 0 soluție poate fi folosirea unui server nume 
NetBIOS (NBNS) ca WINS (Windows Internet Naming Service). 
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1.7. practică: introducere în samba 


0. !! Asiguraţi-vă că ştiţi numărul de student, tot *TOT* ce numiţi trebuie să 
includă numărul de student! 


1. Verificaţi dacă puteți intra într-un computer Linux/Unix. Scrieţi pe o hîrie 
numele şi adresa ip a acelui computer. 


2. Faceţi la fel pentru toate celelalte maşini (virtuale) disponibile. 


3. Verificaţi rețeaua făcînd ping computerului, editaţți fişierele numelor de 
maşini corespunzătoare astfel încît să folosiți nume. Testați numele făcându-le 


ping. 

4. Asiguraţi-vă că samba este instalată, scrieţi versiunea de samba. 

5. Deschideţi fişierul pdf howto Samba 3 Oficial care este instalat pe computer. 
Cîte pagini A4 are acest fişier? Apoi priviți la acelaşi pdf pe samba.org, este 


adus la zi în mod regulat. 


6. Opriți serverul samba. 
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Capitolul 2. începînd cu samba 
Conţinut 


/etc/samba/smb. conf. 
/usr/bin/testparnm. 
/usr/bin/smbclient. 
/usr/bin/smbtree. 

server şir. . 

Samba Web Administration "Tool (SAT), 
practică: începînd cu samba. : 
soluție: începînd cu samba. 


NDNDNNWNWNWNNIN 
OANDUBPUVNH=R 
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2.1. /etc/samba/smb. conf 
smbd -b 


Configurarea samba se face în fişierul smb.conf. Fişierul poate fi editat 
manual, sau puteți folosi o interfață bazată pe web ca webmin sau swat pentru a- 
1 aranja. Fişierul este de obicei localizat în /etc/samba. îi puteți găsi 
locația exactă cu smbd -b. 


[root&RHEL4b =]+ smbd -b | grep CONFIGFILE 
CONFIGFILE: /etc/samba/smb. conf 


smb.conf default 


Fişierul default smb.conf conține multe exemple cu explicări. 


[pauleRHEL4b =]$ Is -l /etc/samba/smb.conf 
-rw-r--r-- 1 root root 10836 May 30 23:08 /etc/samba/smb.conf 


De asemeni pe Ubuntu şi Debian, smb.conf este împachetat cu exemple şi 
explicări. 


paulelaika:-$ Is -l /etc/samba/smb.conf 
-rw-r--r-- 1 root root 10515 2007-05-24 00:21 /etc/samba/smb. conf 


smb.conf minimal 


Mai jos este un exemplu a unui fişier smb.conf minimal. Permite ca samba să fie 
pornit, şi să fie vizibil altor computere (Microsoft arată computerele în 
Network Neighborhood sau My Network Places). 


[pauleRHEL4b -]$ cat /etc/samba/smb.conf 
[global] 

workgroup = WORKGROUP 

[firstshare] 

path = /srv/samba/public 


net view 
Mai jos este o captură de ecran a comenzii net view pe Microsoft Windows Server 


2003 sp2. Arată un Red Hat Enterprise Linux 5.3 şi un Ubuntu 9.04 Server Samba, 
ambele cu un smb.conf minimal, şi sînt vizibile pe computerele Microsoft vecine. 


C: ADocuments and SettingslAdministrator>net view 


Server Name Remark 

VALAIKA Samba 3.3.2 

NARHEL53 Samba 3.0.33-3.7.e15 
N1W2003 


The command completed successfully. 
linii lungi în smb.conf 
Unii parametri în smb.conf pot avea o listă lungă de valori în spatele lor. 


Puteți conținua o line (pentru claritate) pe următoarea terminînd linia cu un 
backslash. 
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valid users = Serena, Venus, Lindsay | 

Kim, Justine, Sabine | 

Amelie, Marie, Suzanne 
smb.conf curios 
Curios dar adevărat: smb.conf acceptă sinonime ca create mode şi create mask, şi 
(uneori) erori minore de tastare ca browsable şi browseable. Şi cu anumite 
ocazii puteți chiar să schimbaţi cuvintele, parametrul guest only este identic 
cu only guest. Şi writable = yes este la fel cu readonly = no. 
man smb.conf 


Puteţi accesa multă documentație cînd tastați man smb.conf. 


[rooteRHEL4b samba] apropos samba 


cupsaddsmb (8) - export printers to samba for windows clients 

Imhosts (5) - The Samba NetBIOS hosts file 

net (8) - Tool for administration of Samba and remote CIFS servers 
pdbedit (8) - manage the SAM database (Database of Samba Users) 

samba (7) = A Windows SMB/CIFS fileserver for UNIX 

smb.conf [smb] (5) - The configuration file for the Samba suite 

smbpasswd (5) - The Samba encrypted password file 

smbstatus (1) = report on current Samba connections 

swat (8) - Samba Web Administration Tool 

tdbbackup (8) - tool for backing up and ... of samba .tdb files 


[rootQRHEL4b samba] 

2.2. /usr/bin/testparm 

verificarea sintaxei smb.conf 

Pentru a verifica sintaxa fişierului smb.conf, puteți folosi testparm. 


[pauleRHEL4b -]$ testparm 

Load smb config files from /etc/samba/smb.conf 
Processing section "[firstshare]" 

Loaded services file OK. 

Server role: ROLE_STANDALONE 

Press enter to see a dump of your service definitions 


testparm -v 


O opțiune interesantă este testparm -v, care va afişa toate opțiunile globale cu 
valoarea lor default. 
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[root&RHEL52 =]+ testparm -v | head 

Load smb config files from /etc/samba/smb.conf 
Processing section "[pubo]" 

Processing section "[globalș]" 

Loaded services file OK. 

Server role: ROLE_STANDALONE 

Press enter to see a dump of your service definitions 


[global] 

dos charset = CP850 

unix charset = UTF-8 

display charset = LOCALE 

workgroup = WORKGROUP 

realm = 

netbios name = TEACHERO 

netbios aliases = 

netbios scope = 

server string = Samba 3.0.28-1.el5_2.1 


Existau aproape 350 de valori default pentru parametrii smb.conf în Samba 3.0.x. 
Acest număr a crescut la aproape 400 în Samba 3.5.x. 


testparm -s 


Daemonii samba verifică constant (o dată la 60 de secunde) fişierul smb.conf, 
aşa că este un lucru bun să păstrăm mic acest fişier. Dar de asemeni este bine 
să documentăm configurarea samba, şi să setăm opțiuni explicite care au aceiaşi 
valoare default. Opțiunea testparm -s vă permite să faceți ambele. Va afişa 
ieşirea fişierului configurație cel mai mic posibil, în timp ce va reține toate 
setările. Ideea este să aveţi configurarea samba în alt fişier (ca 
smb.conf.full) şi să lăsați testparm să analizeze asta. Captura de ecran de mai 
jos arată cum. Mai întîi fişierul smb.conf.full cu opțiunea setată explicit 
workgroup la WORKGROUP. 


[rootQRHEL4b samba]t cat smb.conf.full 
[global] 
workgroup = WORKGROUP 


+ This is a demo of a documented smb.conf 
+ These two lines are removed by testparm -s 


server string = Public Test Server 


[firstshare] 
path = /srv/samba/public 


Apoi, executăm testparm cu opțiunea -s, şi redirectăm stdout la fişierul real 
smb. conf. 


[rooteRHEL4b samba]t testparm -s smb.conf.full > smb.conf 
Load smb config files from smb.conf.full 

Processing section "[firstshare]" 

Loaded services file OK. 


Şi mai jos este rezultatul final. Cele două linii de comentariu şi opţiunea 
default nu mai sînt acolo. 
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[rooteRHEL4b samba]t cat smb.conf 


+ Global parameters 
[global] 
server string = Public Test Server 


[firstshare] 
path = /srv/samba/public 
[rootQRHEL4b samba] 


2.3. /usr/bin/smbclient 
Ssmbclient privind la samba 


Cu smbclient puteți vedea navigare şi informație partajată de la serverul smb. 
El va afişa toate partajele, workgroup, şi numele Master Browser. întrerupătorul 
-N este adăugat pentru a evita nevoia de a introduce o parolă goală. 
întrerupătorul -L este urmat de numele maşinii de verificat. 


[rootQRHEL4b init.d]+ smbclient -NL rhel4b 
Anonymous login successful 
Domain= [WORKGROUP] OS=[Unix] Server=[Samba 3.0.10-1.4E.9] 


Sharename Type Comment 

firstshare Disk 

IPC$ IPC IPC Service (Public Test Server) 
ADMINŞ IPC IPC Service (Public Test Server) 


Anonymous login successful 
Domain= [WORKGROUP] OS=[Unix] Server=[Samba 3.0.10-1.4E.9] 


Server Comment 

RHELAB Public Test Server 
WINXP 

Workgroup Master 

WORKGROUP WINX 


smbclient anonim 


Captura de ecran de mai jos foloseşte smbclient pentru a afişa informaţie despre 
un server smb remote (în acest caz un computer cu Ubuntu 11.10). 
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rootâubul110: /etc/sambat testparm smbclient -NL 127.0.0.1 
Anonymous login successful 
Domain=[LINUXTR] OS=[Unix] Server=[Samba 3.5.11] 


Sharename Type Comment 
sharel Disk 
IPC$ IPC IPC Service (Samba 3.5.11) 


Anonymous login successful 
Domain=[LINUXTR] OS=[Unix] Server=[Samba 3.5.11] 


Server Comment 
Workgroup Master 

LINUXTR DEBIAN6 
WORKGROUP UBU1110 


smbclient cu acreditări 


Versiunile Windows după XP sp2 şi 2003 spil nu acceptă acces oaspete (eroarea 
NT_STATUS_ACCESS_DENIED). Acest exemplu arată cum să dăm acreditări cu 
smbclient. 


[pauleRHEL53 =]$ smbclient -L w2003 -U administratorstargate 
Domain=[W2003] Os=[Windows Server 2003 3790 Service Pack 2] Server=... 
Sharename Type Comment 


C$ Disk Default share 
IPC$ IPC Remote IPC 
ADMINȘ Disk Remote Admin 


2.4. /usr/bin/smbtree 


Un alt utilitar folositor pentru a depana samba sau doar să navigăm în rețeaua 
SMB este smbtree. În cea mai simplă formă a ei, smbtree va face o navigare 
anonimă în subnetul local, afişînd toate computerele SMB şi (dacă este 
autorizat) ceea ce partajează ele. 


să ne uităm la două capturi de ecran a smbtree în acțiune (cu parole goale). 
Prima este făcută imediat după ce am butat patru computere diferite (un MS 
Windows 2000, un MS Windows XP, un MS Windows 2003 şi un RHEL 4 cu 

Samba 3.0.10). 


[pauleRHEL4b =]$ smbtree 

Password: 

WORKGROUP 

PEGASUS 

VAWINXP 

NNRHELA4B Pegasus Domain Member Server 

Error connecting to 127.0.0.1 (Connection refused) 
cli_full_connection: failed to connect to RHEL4B<20> (127.0.0.1) 
NNHM2003 

[pauleRHEL4b =]$ 
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Informația afişată în screenshot-ul de mai înainte arată incomplet. Alegerile de 
browsing încă funcționează, lista browse nu este încă distribuită tuturor 
clienților de către master browser (cel pentru a fi ales). Următoarea captură de 
ecran a fost făcută un minut mai tîrziu. Şi afişează chiar şi mai puţin. 


[pauleRHEL4b =]$ smbtree 
Password: 

WORKGROUP 

NNW2000 

[pauleRHEL4b =]$ 


Aşa că aşteptăm puțin, şi apoi executăm smbtree din nou, de data asta arată mult 
mai plăcut. 


[pauleRHEL4b =]$ smbtree 

Password: 

WORKGROUP 

VIW2000 

PEGASUS 

NAWINXP 

NNARHELA4B Pegasus Domain Member Server 
NARHEL4BVADMINȘ$ IPC Service (Pegasus Domain Member Server) 
NNRHEL4BVIPCŞ IPC Service (Pegasus Domain Member Server) 
NNRHEL4Bldomaindata Active Directory users only 

NAHM2003 

[pauleRHEL4b -]$ smbtree --version 

Version 3.0.10-1.4E.9 

[pauleRHEL4b -]$ 


Am adăugat numărul de versiune a smbtree în captura de ecran anterioară, pentru 
a vă arăta diferenţa folosind ultima versiune a smbtree (mai jos este un 
screenshot luat de pe Ubuntu Feisty Fawn). Ultima versiune arată o trecere în 
revistă mai completă a maşinilor şi partajele lor. 


paulelaika:-$ smbtree --version 
Version 3.0.24 

paulelaika:-$ smbtree 

Password: 

WORKGROUP 

VIW2000 

NIW2000firstshare 

VW2000C$ Default share 
VIW2000 VADMINȘ Remote Admin 
NIW2000 LIPC$ Remote IPC 
PEGASUS 

NAWINXP 

cli_rpc_pipe_open: cli_nt_create failed on pipe |srvsvc to machine WINXP. 
Error was NT_STATUS_ACCESS_DENIED 


NNRHEL4B Pegasus Domain Member Server 
NNRHEL4BVADMINȘ$ IPC Service (Pegasus Domain Member Server) 
NARHEL4BNLIPC$ IPC Service (Pegasus Domain Member Server) 
NNRHEL4Bdomaindata Active Directory users only 

NNHM2003 


cli_rpc_pipe_open: cli_nt_create failed on pipe |srvsvc to machine HM2003. 
Error was NT_STATUS_ACCESS_DENIED 
paulelaika:-$ 
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Screenshot-ul de mai sus furnizează de asemeni erori utile de ce nu putem să 
vedem informaţii partajate pe computere winxp şi w2003. Să încercăm versiunea 
veche smbtree pe serverul nostru RHEL, dar de această dată cu acreditările 
administratorului (care sînt la fel pe toate computerele). 


[pauleRHEL4b =]$ smbtree -UAdministrator*Stargatel 


WORKGROUP 

VNW2000 

PEGASUS 

VWINXP 

VWINXPNC$ Default share 

NWINXPNADMINȘ$ Remote Admin 

VWINXPishare55 

NAWINXPNIPC$ Remote IPC 

NNARHELA4B Pegasus Domain Member Server 
NNRHEL4BVADMINȘ$ IPC Service (Pegasus Domain Member Server) 
NARHEL4BILIPC$ IPC Service (Pegasus Domain Member Server) 
NRHEL4BIdomaindata Active Directory users only 

VNHM2003 

NNHM2003NETLOGON Logon server share 

NNHM2003SYSVOL Logon server share 

NNHM2003 WSUSTemp A network share used by Local Publishing ... 
NNHM2003 VADMIN$ Remote Admin 

VNHM2003|tools 

VNHM2003 LIPC$ Remote IPC 

NIHM2003 WsusContent A network share to be used by Local 
NNHM20031C$ Default share 


[pauleRHEL4b -]$ 


După cum puteți vedea, această comandă dă o afişare foarte frumoasă a tuturor 
computerelor SMB şi a partajelor lor. 


2.5. server şir 
Comentariul văzut de către comenzile net view şi smbclient este valoarea default 


pentru opţiunea server string. Doar adăugînd această valoare în secţiunea 
globală în smb.conf şi restartînd samba va schimba opțiunea. 


[root&RHEL53 samba]t testparm -s 2>/dev/null | grep server 
server string = Red Hat Server in Paris 


După o scurtă perioadă de timp, opţiunea schimbată este vizibilă pe computerele 
Microsoft. 


C: NDocuments and SettingsiAdministrator>net view 


Server Name Remark 

NLAIKA Ubuntu 9.04 server in Antwerp 
NNRHEL53 Red Hat Server in Paris 
VNW2003 


2.6. SWAT (Samba Web Administration Tool) 


Samba vine cu un utilitar bazat pe web pentru a aranja fişierul de configurație 
samba. SWAT este accesibil cu un web browser pe portul 901 al sistemului gazdă. 


19 


Pentru a activa utilitarul, mai întîi aflați dacă sistemul foloseşte 
superdaemonul inetd sau xinetd. 


[rooteRHEL4b samba]t ps fax | grep iînet 

15026 pts/0 S+ 0:00 A_ grep înet 

2771 2? Ss 0:00 xinetd -stayalive -pidfile /var/run/xinetd.pid 
[rootQRHEL4b samba] 


Apoi editați inetd.conf sau schimbaţi linia disable = yes în /etc/xinetd.d/swat 
la disable = no. 


[rootQRHEL4b samba]t cat /etc/xinetd.d/swat 
+ default: off 


4 description: SWAT is the Samba Web Admin Tool. Use swat | 

ii to configure your Samba server. To use SWAT, | 
i. connect to port 901 with your favorite web browser. 
service swat 

1 

port = 901 

socket_type = stream 

wait = no 

only_from = 127.0.0.1 

user = root 

server = /usr/sbin/swat 

log_on_failure += USERID 

disable = no 

) 

[rooteRHEL4b samba]t /etc/init.d/xinetd restart 

Stopping xinetd: [ OK |] 

Starting xinetd: [ OK |] 


[rootQRHEL4b samba] 


Schimbați valoarea only from pentru a permite swat de la computere remote. Acest 
exemplu arată cum să dăm acces swat pe toate computerele într-un subnet /24. 


[rootQRHEL53 xinetd.d]t grep only /etc/xinetd.d/swat 
only_from = 192.168.1.0/24 


Fiți atenți cînd utilizați SWAT, el şterge toate comentariile editate manual în 
smb. conf. 
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2.7. practică: începînd cu samba 

1. Faceți o copie backup a fişierului original smb.conf, numiți-l smb.conf.orig. 
2. Activați SWAT şi uitați-vă la el. 

3. Opriți serverul samba. 

4. Creați un fişier minimal smb.conf.minimal şi testați-l cu testparn. 

5. Folosiţi testparm -s pentru a crea /etc/samba/smb.conf din smb.conf.minimal. 
6. Deschideţi samba cu smb.conf.minimal. 

7. Verificaţi cu smbclient dacă serverul samba funcționează. 

8. Verificaţi dacă un alt computer (Microsoft) vă poate vedea serverul samba. 

9. Navigaţi reţeaua cu net view, smbtree şi cu Windows Explorer. 


10. Schimbați parametrul "Server String" în smb.conf. Cât timp cere înainte de a 
vă vedea schimbarea (net view, smbclient, My Network Places, ..)? 


11. Restartînd samba după o schimbare în smb.conf va accelera schimbarea? 


12. Care computer este master browser master în workgroup? Ce este master 
browser? 


13. Dacă timpul permite (sau dacă aşteptaţi ca ceilalți studenţi să termine 


această practică), atunci instalați un interceptor (wireshark) şi priviţi 
alegerile din browser. 
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2.8. soluție: începînd cu samba 

1. Faceți o copie backup a fişierului original smb.conf, numiți-l smb.conf.orig. 
cd /etc/samba ; cp smb.conf smb.conf.orig 

2. Activați SWAT şi uitați-vă la el. 

pe Debian/Ubuntu: vi /etc/inetd.conf (ştergeţi + înainte de swat) 

pe RHEL/Fedora: vi /etc/xinetd.d/swat (setaţi disable la no) 

3. Opriți serverul samba. 

/etc/init.d/smb stop (Red Hat) 

/etc/init.d/samba stop (Debian) 

4. Creați un fişier minimal smb.conf.minimal şi testați-l cu testparn. 

cd /etc/samba ; mkdir my_smb_confs ; cd my_smb_confs 

vi smb.conf.minimal 

testparm smb.conf.minimal 

5. Folosiţi testparm -s pentru a crea /etc/samba/smb.conf din smb.conf.minimal. 


testparm -s smb.conf.minimal > ../smb.conf 

6. Deschideţi samba cu smb.conf.minimal. 

/etc/init.d/smb restart (Red Hat) 

/etc/init.d/samba restart (Debian) 

7. Verificaţi cu smbclient dacă serverul samba funcționează. 
smbclient -NL 127.0.0.1 

8. Verificaţi dacă un alt computer (Microsoft) vă poate vedea serverul samba. 
smbclient -NL 'ip-address' (pe un Linux) 

9. Navigaţți reţeaua cu net view, smbtree şi cu Windows Explorer. 
pe Linux: smbtree 

pe Windows: net view (şi WindowskKey + e) 


10. Schimbaţți parametrul "Server String" (server şir) în smb.conf. Cât timp cere 
înainte de a vă vedea schimbarea (net view, smbclient, My Network Places, ..)? 


vi /etc/samba/smb.conf 


(ar trebui să ia doar cîteva secunde după ce restartaţi samba) 


11. Restartînd samba după o schimbare în smb.conf va accelera schimbarea? 
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Da. 


12. Care computer este master browser master în workgroup? Ce este master 
browser? 


Computerul care a cîştigat alegerile. 


Această maşină va face lista computerelor în reţea. 


13. Dacă timpul permite (sau dacă aşteptaţi ca ceilalți studenţi să termine 
această practică), atunci instalați un interceptor (wireshark) şi priviţi 
alegerile din browser. 

Pe Ubuntu: sudo aptitude install wireshark 


apoi: sudo wireshark, selectaţi interface 
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Capitolul 3. server fişier cu drepturi doar de citire 


Conţinut 


VVUVVWVVUW 
NOD UIUBUNR 


setarea unui director de partajat. 
configurarea partajului. 
restartare server. 

verificare partaj. RT me te cui. d 

o notă despre netcat. . . . .. . 


practică: server fişier cu drepturi doar de citire. 


soluție: server fişier cu drepturi doar de citire. 
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3.1. setarea unui director de partajat 


Să începem cu setarea unui foarte simplu server fişier cu permisiuni doar de 
citire cu samba. Oricine (chiar şi musafirii anonimi) vor primi acces de citire. 


Primul pas este să creăm un director şi să punem nişte fişiere test îneel. 


[rootQRHEL52-=-]% mkdir -p /srv/samba/readonly 

[rooteRHEL52-]4 cd /srv/samba/readonly/ 

[rooteRHEL52 readonly]t echo "It is cold today." > winter.txt 
[rooteRHEL52 readonly]t echo "It is hot today." > summer.txt 
[rootQRHEL52 readonly]t Is -1 

total 8 

-rw-r--r-- 1 root root 17 Jan 21 05:49 summer.txt 

-rw-r--r-- 1 root root 18 Jan 21 05:49 winter.txt 
[rootQRHEL52 readonly]t 


3.2. configurarea partajului 
secțiunea [global] smb.conf 


în acest exemplu serverul samba este un membru al WORKGROUP (workgroup default). 
De asemeni am setat un server şir descriptiv, acest şir este vizibil 
utilizatorilor care navighează rețeaua cu net view, windows explorer sau 
smbclient. 


[rootQRHEL52 samba] head -5 smb.conf 
[global] 

workgroup = WORKGROUP 

server string = Public Anonymous File Server 
netbios name = TEACHERO 

security = share 


S-ar putea să fi observat linia security = share. Această linie setează modul 
securității default pentru serverul nostru samba. Setînd modul securității la 
share (partaj) va permite clienților (maşinilor care efectuează cererile) 
(smbclient, orice Windows, un alt server samba, ..) să dea o parolă pentru 
fiecare partaj. Aceasta este o cale de a utiliza protocolul SMB/CIFS. Cealaltă 
cale (numită user mode) va permite clientului să dea o combinaţie 
username/parolă, înainte ca serverul să cunoască la care partaj vrea să aibă 
acces clientul. 


secțiunea [share] smb.conf 


Partajul este numit pubread şi calea este setată la directorul nostru nou creat. 
Orcine are permisiune de acces (guest ok = yes) şi securitatea este setată cu 
permisiuni doar de citire. 


[pubread] 

path = /srv/samba/readonly 
comment = files to read 
read only = yes 

guest ok = yes 


Aici este o configurare similară pe Ubuntu 11.10. 
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rootâubul110:-4 cat /etc/samba/smb.conf 
[global] 

workgroup = LINUXTR 

netbios name = UBU1110 

security = share 

[roshare1] 

path = /srv/samba/readonly 

read only = yes 

guest ok = yes 


Nu are importanță cu adevărat ce distribuție Linux folosiți. Mai jos este 
aceeaşi configurație pe Debian 6, la fel identică. 


rootâdebian6:-t cat /etc/samba/smb.conf 
[global] 

workgroup = LINUXTR 

netbios name = DEBIAN6 

security = share 

[roshare1] 

path = /srv/samba/readonly 

read only = yes 

guest ok = yes 


3.3. restartare server 


După ce testați cu testparm, restartați serverul samba (astfel nu trebuie să 
aşteptaţi). 


[rooteRHEL4b readonly]t service smb restart 


Shutting down SMB services: [ OK |] 
Shutting down NMB services: [ OK ] 
Starting SMB services: [ OK ] 
Starting NMB services: [ OK ] 


3.4. verificare partaj 
verificați cu smbclient 


Puteți verifica acum existența partajului cu smbclient. pubread este listat ca 
al patrulea partaj. 
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[rootQRHEL52 samba] smbclient -NL 127.0.0.1 
Domain= [WORKGROUP] OS=[Unix] Server=[Samba 3.0.33-3.7.e15] 


Sharename Type Comment 

IPC$ IPC IPC Service (Public Anonymous File Server) 
globalș Disk 

pub Disk 

pubread Disk files to read 


Doma'in= [WORKGROUP] OS=[Unix] Server=[Samba 3.0.33-3.7.e15] 


Server Comment 

TEACHERO Samba 3.0.33-3.7.el5 
W2003EE 

Workgroup Master 

WORKGROUP W2003EE 


verificare pe Windows 
Testul final este să intrați pe un computer Microsoft Windows şi să citiți un 


fişier pe serverul samba. Mai întîi folosim comanda net use pentru a monta 
partajul pubread pe driveletter-ul K. 


C:>net use K: |lteacherolpubread 
The command completed successfully. 


Apoi testăm uitîndu-ne la conţinutul partajului, şi citind fişierele. 
C:>dir k: 

Volume in drive K is pubread 

Volume Serial Number is 0C82-11F2 


Directory of K:| 


21/01/2009 05:49  <DIR> 
21/01/2009 05:49  <DIR> 


21/01/2009 05:49 17 summer.txt 
21/01/2009 05:49 18 winter.txt 
2 File(s) 35 bytes 
2 Dir(s) 13.496.242.176 bytes free 


Ca să fim în zona sigură, să încercăm să scriem. 


K:V>echo very cold > winter.txt 
Access is denied. 


K:> 


Sau puteți folosi Windows Explorer .. 
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2 Desktop 
[=] My Documents 
a “9 My Computer 
B+ 31 Floppy (A:) 
“> Local Disk (C:) 
2 CD Drive (D:) 
Q Control Panel 
=) * My Network Places 
[2] [”) Entire Network 
[5] Microsoft Terminal Services 
a [5] Microsoft Windows Network 
E Mshome 
[=] E workgroup 
=] L Teacher 
pubo 
“3 Printers and Faxes 
19 'w2003ee 
[i] vMware Shared Folders 
[6] web Client Network 
3 Recycle Bin 


=] summer,Ext 1KB Text Document 
[2] winter.tact 1KB Text Document 


21/01/2009 5:49 
2110112009 5:49 
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3.5. o notă despre netcat 


Screenshot-ul liniei de comandă Windows este făcut într-o consolă Linux, 
folosind netcat ca o conductă la un shell de comandă Windows. 


Modalitatea prin care asta funcționează, este pentru că am activat netcat să 
asculte pe computerul Windows pe un anumit port, executînd cmd.exe cînd o 
conexiune este primită. Netcat este similar cu cat, în modalitatea că cat nu 
face nimic, şi netcat nu face nimic pe rețea. 


Pentru a activa această conexiune, tastați următoarele pe computerul Windows 
(după ce downloadați netcat pentru Windows). 


nc -l -p 23 -t -e cmd.exe 


Şi apoi conectați-vă la această maşină cu netcat de la orice computer Linux. 
Veţi sfîrşi cu un prompt cmd.exe în interiorul shell-ului Linux. 


paulelaika:=$ nc 192.168.1.38 23 
Microsoft Windows [Version 5.2.3790] 
(C) Copyright 1985-2003 Microsoft Corp. 


C:>net use k: /delete 


net use k: /delete 
k: was deleted successfully. 
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3.6. practică: server fişier cu drepturi doar de citire 


1. Creați un director într-o locație bună (FHS) pentru a partaja fişiere ca 
oricine să le poată citi. 


2. Asiguraţi-vă că directorul este deținut în mod corespunzător şi este 
accesibil tuturor. 


3. Puneţi un fişier text în acest director. 
4. Partajaţi directorul cu samba. 


5. Verificaţi de la computer şi de la un alt computer (smbclient, net use, ..) că 
partajul este accesibil pentru a fi citit. 


6. Faceţi o copie backup a smb.conf, numiți-o smb.conf.ReadonlyFrileServer. 
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3.7. soluţie: server fişier cu drepturi doar de citire 


1. Creați un director într-o locație bună (FHS) pentru a partaja fişiere ca 


oricine să le poată citi. 
Alegeţi una dintre acestea... 
mkdir -p /srv/samba/readonly 
mkdir -p /home/samba/readonly 
/home/paul/readonly is wrong!! 
/etc/samba/readonly is wrong!! 


/readonly is wrong!! 


2. Asiguraţi-vă că directorul este deținut în mod corespunzător şi este 


accesibil tuturor. 
chown root:root /srv/samba/readonly 


chmod 755 /srv/samba/readonly 


3. Puneţi un fişier text în acest director. 


echo Hello World > hello.txt 


4. Partajaţi directorul cu samba. 
smb.conf.readonly ar putea arăta astfel: 


[global] 

workgroup = WORKGROUP 

server string = Read Only File Server 
netbios name = STUDENTx 

security = share 


[readonlyX] 

path = /srv/samba/readonly 
comment = read only file share 
read only = yes 

guest ok = yes 


Testaţi cu testparm înainte de a-l pune în producţie! 


5. Verificaţi de la computer şi de la un alt computer (smbclient, 


partajul este accesibil pentru a fi citit. 
Pe Linux: smbclient -NL 127.0.0.1 
Pe Windows Explorer: navigaţi la My Network Places 


Pe Windows cmd.exe: net use L: //studentx/readonly 


6. Faceţi o copie backup a smb.conf, numiți-o smb.conf.ReadonlyrileServer. 


cp smb.conf smb.conf.ReadOnlyFileServer 
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„) că 


Capitolul 4. server fişier cu drepturi de scriere 
Conţinut 


setarea unui director de partaj. 

secțiunea share în smb.conf. 

configurare partaj. 

testare conexiune cu windows. 

testare scriere cu Windows. 

cum e posibil?. 3 

practică: server fişier c cu “drepturi de scriere. 
soluție: server fişier cu drepturi de scriere. 


PPP PPP-P-PB 
OANDUBPUVNHR 
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4.1. setarea unui director de partaj 


În acest al doilea exemplu, vom crea un partaj unde oricine poate crea fişiere 
şi să scrie în fişiere. Din nou, vom începe creînd un director. 


[rootQeRHEL52 samba] mkdir -p /srv/samba/writable 
[rootQRHEL52 samba]t chmod 777 /srv/samba/writable/ 


4.2. secţiunea share în smb.conf 


Există doi parametri pentru a face un partaj cu drepturi de scriere. Putem 
folosi read only sau writable. Acest exemplu arată cum să folosim writable 
pentru a da acces de scriere unui partaj. 


writable = yes 


Şi acesta este un exemplu al utilizării parametrului read only pentru a da acces 
de scriere unui partaj. 


read only = no 
4.3. configurare partaj 


Apoi adăugăm un partaj serverului nostru fişier editînd smb.conf. Mai jos este 
verificarea cu testparm. (Puteam schimba descrierea serverului ..) 


[rootQeRHEL52 samba] testparm 

Load smb config files from /etc/samba/smb.conf 
Processing section "[pubwrite]" 

Processing section "[pubread]" 

Loaded services file OK. 

Server role: ROLE_STANDALONE 

Press enter to see a dump of your service definitions 


[global] 

netbios name = TEACHERO 

server string = Public Anonymous File Server 
security = SHARE 


[pubwrite] 

comment = files to write 
path = /srv/samba/writable 
read only = No 

guest ok = Yes 


[pubread] 

comment = files to read 
path = /srv/samba/readonly 
guest ok = Yes 


4.4. testare conexiune cu Windows 


Acum putem testa conexiunea pe un computer Windows 2003. Folosim net use pentru 
asta. 


C:>net use L: |lteacherolpubwrite 


net use L: ||teacherOlpubwrite 
The command completed successfully. 
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4.5. testare scrieriere cu Windows 


Am montat partajul pubwrite pe disk-ul L: în Windows. Mai jos testăm dacă putem 
scrie pe acest partaj. 


L:V>echo hoi > hoi.txt 


L:>dir 
Volume in drive L is pubwrite 
Volume Serial Number is 0C82-272A 


Directory of L:| 


21/01/2009 06:11  <DIR> 
21/01/2009 06:11  <DIR> 
21/01/2009 06:16 6 hoi.txt 
1 File(s) 6 bytes 
2 Dir(s) 13.496.238.080 bytes free 


4.6. cum e posibil? 


Linux (sau orice Unix) are nevoie întotdeauna de un cont utilizator pentru a 
obține acces la un sistem. Computerul Windows nu a cerut serverului samba un 
cont de utilizator sau o parolă. în schimb, proprietarul Linux a fişierelor 
create prin acest partaj cu drepturi de scriere este contul musafir (de obicei 
numit nobody). 


[rootQRHEL52 samba] Is -l /srv/samba/writable/ 
total 4 
-rwxr--r-- 1 nobody nobody 6 Jan 21 06:16 hoi.txt 


Astfel aceasta nu este cea mai deschisă soluţie. Va trebui să îmbunătăţim asta. 
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4.7. practică: server fişier cu drepturi de scriere 
1. Creați un director şi partajați-l cu samba. 


2. Asiguraţi-vă că oricine poate citi şi scrie fişiere, testați scrierea cu 
smbclient şi de pe un computer Microsoft. 


3. Verificaţi proprietarul fişierelor create de (diverşi) utilizatori. 
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4.8. soluție: server fişier cu drepturi de scriere 


1. Creați un director şi partajați-l cu samba. 

mkdir /srv/samba/writable 

chmod 777 /srv/samba/writable 

secţiunea partajului în smb.conf poate arăta astfel: 


[pubwrite] 

path = /srv/samba/writable 
comment = files to write 
read only = no 

guest ok = yes 


2. Asiguraţi-vă că oricine poate citi şi scrie fişiere, 
smbclient şi de pe un computer Microsoft. 


pentru a testa scrierea cu smbclient: 


echo one > count.txt 

echo two >> count.txt 

echo three >> count.txt 
smbclient //localhost/pubwrite 
Password: 

smb: > put count.txt 


testați scrierea cu 


3. Verificaţi proprietarul fişierelor create de (diverşi) utilizatori. 


1s -1l /srv/samba/writable 
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Capitolul 5. contul primului utilizator samba 
Conţinut 


crearea unui utilizator samba. 

proprietarul fişierelor. 

/usr/bin/smbpasswd. 

/etc/samba/smbpasswd. 

passdb backend. ai 

forțarea acestui utilizator. 
practică: contul primului utilizator samba. 
soluție: contul primului utilizator samba. 


OU UNU UI UI UI UI 
OANDUBPUVN=R 
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5.1. crearea unui utilizator samba 


Vom crea un utilizator pentru serverul nostru fişier samba şi-l vom face pe 
acest utilizator proprietarul directorului şi al tuturor fişierelor lui. Acest 
utilizator anonim primeşte o descriere clară, dar nu primeşte un shell login. 


[rootQeRHEL52 samba]t useradd -s /bin/false sambanobody 

[rootQeRHEL52 samba]t usermod -c "Anonymous Samba Access" sambanobody 
[rooteRHEL52 samba]t passwd sambanobody 

Changing password for user sambanobody. 

New UNIX password: 

Retype new UNIX password: 

passwd: all authentication tokens updated successfully. 


5.2. proprietarul fişierelor 


Putem folosi acest utilizator ca proprietarul fişierelor şi directoarelor, în 
loc să folosim contul de root. Această abordare este clară şi mai sigură. 


[rootQeRHEL52 samba] chown -R sambanobody:sambanobody /srv/samba/ 
[rootQRHEL52 samba] Is -al /srv/samba/writable/ 

total 12 

drwxrwxrwx 2 sambanobody sambanobody 4096 Jan 21 06:11 

drwxr-xr-x 6 sambanobody sambanobody 4096 Jan 21 06:11 

-rwxr--r-- 1 sambanobody sambanobody 6 Jan 21 06:16 hoi.txt 


5.3. /usr/bin/smbpasswd 


Contul de utilizator sambanobody pe care L-am creat în exemplele anterioare nu 
este încă utilizat de către samba. El este doar proprietarul fişierelor şi 
directoarelor pe care le-am creat pentru partajele noastre. Scopul acestei 
secțiuni este să forțănm proprietarea fişierelor create prin intermediul 
partajului samba ca ele să aparţină utilizatorului nostru sambanobody. Țineţi 
minte, serverul nostru este încă accesibil tuturor, nimeni nu are nevoie să ştie 
acest cont de utilizator sau parola. Vrem doar un server Linux deschis. 


Pentru a îndeplini asta, trebuie mai întîi să spunem despre acest utilizator lui 
samba. Putem face asta adăugînd contul la smbpasswd. 


[rootQeRHEL52 samba] smbpasswd -a sambanobody 
New SMB password: 

Retype new SMB password: 

Added user sambanobody. 


5.4. /etc/samba/smbpasswd 


Pentru a afla unde samba păstrează această informație (deocamdată), folosiți 
Ssmbd -b. Variabila PRIVATE DIR vă va arăta unde este localizată baza de date 
smbpasswd. 


[root&RHEL52 samba] smbd -b | grep PRIVATE 
PRIVATE_DIR: /etc/samba 

[rooteRHEL52 samba]t Is -l smbpasswd 

rw ===> 1 root root 110 Jan 21 06:19 smbpasswd 


Puteți folosi o simplă comandă cat pentru a vedea conținutul bazei de date 
Smbpasswd. Utilizatorul sambanobody are o parolă (este secretă). 
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[rootQRHEL52 samba]t cat smbpasswd 
sambanobody:503:AE9 ... 9DB309C528E540978:[U ]: LCT-4976B05B: 


5.5. passdb backend 


Notați că versiunile recente samba au tdbsam ca default pentru parametrul passdb 
backend. 


rootâubul110:-4 testparm -v 2>/dev/null| grep 'passdb backend' 


passdb backend = tdbsam 
5.6. forțarea acestui utilizator 


Acum că samba ştie despre acest utilizator, putem ajusta partajul nostru cu 
drepturi de scriere pentru a forța proprietarea fişierelor create prin el. 
Pentru asta folosim opţiunile force user şi force group. Acum putem fi siguri că 
toate fişierele în partajul samba cu drepturi de scriere sînt deținute de 
acelaşi utilizator sambanobody. 


Mai jos este o definiție reînnoită a partajului nostru în smb.conf. 


[pubwrite] 

path = /srv/samba/writable 
comment = files to write 
force user = sambanobody 
force group = sambanobody 
read only = no 

guest ok = yes 


Cînd vă reconectați la partaj şi scrieţi un fişier, atunci acest utilizator 


sambanobody va deține fişierul nou creat (şi nimeni nu are nevoie să ştie 
parola). 
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5.7. practică: contul primului utilizator samba 
1. Creați un cont de utilizator de folosit cu samba. 
2. Adăugaţi acest utilizator la baza de date samba. 


3. Creați un director cu drepturi de scriere partajat şi folosiţi directivele 
"force user" şi "force group" pentru a forța proprietarea fişierelor. 


4. Testaţți funcționarea utilizatorului forțat cu smbclient, net use şi Windows 
Explorer. 
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5.8. soluție: contul primului utilizator samba 


1. Creați un cont de utilizator de folosit cu samba. 
useradd -s /bin/false smbguest 
usermod -c 'samba guest! 


passwd smbguest 
2. Adăugaţi acest utilizator la baza de date samba. 
smbpasswd -a smbguest 


3. Creați un director cu drepturi de scriere partajat şi folosiţi directivele 
"force user" şi "force group" pentru a forța proprietarea fişierelor. 


[userwrite] 

path = /srv/samba/userwrite 

comment = everyone writes files owned by smbguest 
read only = no 

guest ok = yes 

force user = smbguest 

force group = smbguest 


4. Testați funcționarea utilizatorului forțat cu smbclient, net use şi Windows 
Explorer. 


1s -l /srv/samba/userwrite (şi verificaţi proprietarul) 
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Capitolul 6. autentificare samba 
Conţinut 


crearea utilizatorilor pe Linux. 
crearea utilizatorilor pe samba. 
security = user. .. . . 
configurarea partajului. 
testarea accesului cu net use. 
testarea accesului cu smbclient. 
verificare proprietar. 

probleme comune. CR SR RE 
practică: autentificare samba. 
0. soluție: autentificare samba. 


(o) So) No) e) e) ie) eee iie) 
BR OOONODUBPUVON— 
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6.1. crearea utilizatorilor pe Linux 


Scopul acestui exemplu este să setăm un partaj de fişier accesibil unui număr de 
diverşi utilizatori. Utilizatorii vor trebui să se autentifice cu parola lor 
înainte de a le fi permis accesul la partaj. Mai întîi vom crea trei nume de 
utilizatori numiți aleator, fiecare cu propria lui parolă. Mai întîi adăugăm 
aceşti utilizatori la Linux. 


[rootQRHEL52 =] useradd -c "Serena Williams" serena 
[rootQeRHEL52 =] useradd -c "Justine Henin" justine 
[rootQRHEL52 -]+ useradd -c "Martina Hingis" martina 
[rootQRHEL52 -]+ passwd serena 

Changing password for user serena. 

New UNIX password: 

Retype new UNIX password: 

passwd: all authentication tokens updated successfully. 
[rooteRHEL52 -]+ passwd justine 

Changing password for user justine. 

New UNIX password: 

Retype new UNIX password: 

passwd: all authentication tokens updated successfully. 
[rooteRHEL52 -]+ passwd martina 

Changing password for user martina. 

New UNIX password: 

Retype new UNIX password: 

passwd: all authentication tokens updated successfully. 


6.2. crearea utilizatorilor pe samba 
Apoi îi adăugăm la fişierul smbpasswd, cu aceeaşi parolă. 


[rootQRHEL52 -]+ smbpasswd -a serena 
New SMB password: 

Retype new SMB password: 

Added user serena. 

[rootQRHEL52 -]+ smbpasswd -a justine 
New SMB password: 

Retype new SMB password: 

Added user justine. 

[rootQRHEL52 -]+ smbpasswd -a martina 
New SMB password: 

Retype new SMB password: 

Added user martina. 


6.3. security = user 


Vă amintiți că am setat modul securității samba să partajeze cu directiva 
security = share în secțiunea [global]? De vreme ce acum solicităm 
utilizatorilor ca întotdeauna să dea un userid şi o parolă pentru a accesa 
serverul nostru samba, va trebui să schimbăm asta. Setînd security = user va 
cere maşinii care efectuează cererea să înzestreze samba cu un userid şi o 
parolă validă înainte de a da acces la un partaj. 


Secțiunea noastră [global] acum arată astfel. 
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[global] 

workgroup = WORKGROUP 

netbios name = TEACHERO 

server string = Samba File Server 
security = user 


6.4. configurarea partajului 


Adăugăm următoarea secțiune [share] la smb.conf (şi nu uităm să creăm directorul 
/srv/samba/authwrite) . 


[Lauthwrite] 

path = /srv/samba/authwrite 
comment = authenticated users only 
read only = no 

guest ok = no 


6.5. testarea accesului cu net use 
După ce restartăm samba, testăm cu diferiți utilizatori din interiorul 


computerelor Microsoft. Captura de ecran foloseşte net use (mai întîi serena) 
din Windows XP. 


C:>net use m: |lteacherojlauthwrite stargate /user:serena 
The command completed successfully. 


C:>m: 
M:V>echo greetings from Serena > serena.txt 


Următorul screenshot este martina pe un computer Windows 2000, ea reuşeşte în 
scrierea fişierelor ei, dar eşuează să suprascrie fişierul de la serena. 


C:>net use k: |lteacherolauthwrite stargate /user:martina 
The command completed successfully. 


C:>k: 
K:V>echo greetings from martina > Martina.txt 


K:V>echo test overwrite > serena.txt 
Access is denied. 


6.6. testarea accesului cu smbclient 


Puteți de asemeni să testați conectarea cu autentificare cu smbclient. Mai întîi 
testăm cu o parolă greşită. 


[rootQeRHEL52 samba] smbclient //teachero/authwrite -U martina wrongpass 
session setup failed: NT_STATUS_LOGON_FAILURE 


Apoi testăm cu parola corectă, şi verificăm dacă putem accesa un fişier de pe 
partaj. 
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[rooteRHEL52 samba] smbclient //teachero/authwrite -U martina stargate 
Domain=[ TEACHERO] OS=[Unix] Server=[Samba 3.0.33-3.7.e15] 

smb: |> more serena.txt 

getting file |serena.txt of size 14 as /tmp/smbmore.QQfmSN (6.8 kb/s) 
one 

two 

three 

smb: > q 


6.7. verificare proprietar 


Avem acum un server fişier samba simplu cu acces autentificare. Şi fişierele în 
partaje aparțin deţinătorilor lor proprii. 


[rootQRHEL52 samba] Is -l /srv/samba/authwrite/ 

total 8 

-rwWwxr--r-- 1 martina martina 0 Jan 21 20:06 martina.txt 
-rWXr--r-- 1 serena serena 14 Jan 21 20:06 serena.txt 
-TWXr--r-- 1 serena serena 6 Jan 21 20:09 ser.txt 


6.8. probleme comune 
NT_STATUS_BAD_NETWORK_NAME 


Puteți obține NT_STATUS_BAD_NETWORK_NAME cînd uitaţi să creați directorul țintă. 


[rootQRHEL52 samba]t rm -rf /srv/samba/authwrite/ 

[rooteRHEL52 samba] smbclient //teachero/authwrite -U martina stargate 
Domain=[ TEACHERO] OS=[Unix] Server=[Samba 3.0.33-3.7.e15] 

tree connect failed: NT_STATUS_BAD_NETWORK_NAME 


NT_STATUS_LOGON_FAILURE 


Puteți obține NT_STATUS_LOGON_FAILURE cînd tastați greşit parola sau cînd 
tastați un utilizator inexistent. 


[rootQRHEL52 samba]t smbclient //teacher0/authwrite -U martina STARGATE 
session setup failed: NT_STATUS_LOGON_FAILURE 


numele de utilizator (nu) sînt senzitive 


Țineți minte că numele utilizator pe Linux sînt senzitive. 


[rootQRHEL52 samba] su —- MARTINA 
su: user MARTINA does not exist 
[rootQRHEL52 samba]t su - martina 
[martinaaRHEL52 -]$ 


Dar numele de utilizator pe computerele Microsoft nu sînt senzitive. 


[rooteRHEL52 samba] smbclient //teachero/authwrite -U martina stargate 
Domain=[TEACHERO] OS=[Unix] Server=[Samba 3.0.33-3.7.e15] 

smb: > q 

[rooteRHEL52 samba] smbclient //teachero/authwrite -U MARTINA stargate 
Domain=[ TEACHERO] OS=[Unix] Server=[Samba 3.0.33-3.7.e15] 

smb: > q 
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6.9. practică: autentificare samba 


0. Asiguraţi-vă că aveţi backup-uri denumite corespunzător a smb.conf a 
exerciţiilor de practică anterioare. 


1. Creați trei utilizatori (pe Linux şi pe samba), ţineţi minte parolele lor! 


2. Setați un director partaj care este accesibil doar utilizatorilor 
autentificaţi. 


3. Folosiţi smbclient şi un computer Windows pentru a accesa partajul, folosiți 
mai mult decît un singur cont utilizator (Windows cere un logoff/logon pentru 
asta). 


4. Verificaţi dacă fişierele create de aceşti utilizatori le aparțin. 


5. încercați să schimbaţi sau să ştergeţi un fişier de la un alt utilizator. 
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6.10. soluție: autentificare samba 
1. Creați trei utilizatori (pe Linux şi pe samba), ţineţi minte parolele lor! 
useradd -c 'SMB userl!' userx 


passwd userx 


2. Setați un director partaj care este accesibil doar utilizatorilor 
autentificaţi. 


Secţiunea partajată în smb.conf ar putea arăta astfel: 


[authwrite] 

path = /srv/samba/authwrite 
comment = authenticated users only 
read only = no 

guest ok = no 


3. Folosiţi smbclient şi un computer Windows pentru a accesa partajul, folosiți 
mai mult decît un singur cont utilizator (Windows cere un logoff/logon pentru 
asta). 

pe Linux: smbclient //studentX/authwrite -U userl password 

pe Windows net folosiţi p: |istudentXjauthwrite password /user:user2 


4. Verificaţi dacă fişierele create de aceşti utilizatori le aparțin. 


1s -l /srv/samba/authwrite 


5. încercaţi să schimbaţi sau să ştergeţi un fişier de la un alt utilizator. 


Nu ar trebui să puteţi schimba sau suprascrie fişiere de la ceilalţi. 
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Capitolul 7. securitate partaje samba 
Conţinut 


securitate bazată pe nume utilizator. 
securitate bazată pe adresă ip. 
securitate prin obscuritate. 
securitate sistem fişier. 

practică: securitate partaje. 
soluție: securitate partaje. 


A ANANAS 
OUBUNH 
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7.1. securitate bazată pe nume utilizator 
valid users 


Pentru a restricționa utilizatorii per partaj, puteți folosi parametrul valid 
users. În exemplul de mai jos, doar utilizatorii listaţi ca valizi vor putea să 
aibă acces la partajul tennis. 


[tennis] 

path = /srv/samba/tennis 

comment = authenticated and valid users only 
read only = No 

guest ok = No 

valid users = serena, kim, venus, justine 


invalid users 


Dacă aveți paranoia, puteți de asemeni folosi invalid users pentru a nega în mod 
explicit accesul utilizatorilor listați. Cînd un utilizator este în ambele 
liste, utilizatorul nu are nici un acces! 


[tennis] 

path = /srv/samba/tennis 

read only = No 

guest ok = No 

valid users = kim, serena, venus, justine 
invalid users = venus 


read list 


Pe un partaj cu drepturi de scriere, puteţi seta o listă a utilizatorilor cu 
drepturi doar de citire cu parametrul read list. 


[football] 

path = /srv/samba/football 
read only = No 

guest ok = No 

read list = martina, roberto 


write list 


Chiar pe un partaj cu drepturi doar de citire, puteţi seta o listă de 
utilizatori care pot scrie. Folosiţi parametrul write list. 


[football] 

path = /srv/samba/golf 
read only = Yes 

guest ok = No 

write list = eddy, jan 


7.2. securitate bazată pe adresă ip 

hosts allow 

Parametrul hosts allow sau allow hosts este unul dintre avantajele cheie a 
Samba. El permite controlul partajelor la nivelul adresei ip. Pentru a permite 


numai anumitor nume de maşini să acceseze un partaj, listați numele de maşini, 
separate de virgulă. 
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allow hosts = 192.168.1.5, 192.168.1.40 

Permiterea subnetului în întregime se face prin terminarea cîmpului cu un punct. 
allow hosts = 192.168.1. 

Măştile subnet pot fi adăugate în modalitatea clasică. 

allow hosts = 10.0.0.0/255.0.0.0 

Puteţi de asemeni permite un întreg subnet cu excepţii. 

hosts allow = 10. except 10.0.0.12 

hosts deny 


Parametrul hosts deny sau deny hosts este contrapartea logică a celor de mai 
sus. Sintaxa este aceeaşi ca pentru hosts allow. 


hosts deny = 192.168.1.55, 192.168.1.56 
7.3. securitate prin obscuritate 
hide unreadable 


Setînd hide unreadable la yes va preveni utilizatorii să vadă fişiere care nu 
pot fi citite de către ei. 


hide unreadable = yes 
browseable 


Setînd directiva browseable = no va ascunde partajele din My Network Places. 
Dar ea nu va împiedica pe cineva să acceseze partajul (cînd numele partajului 
este cunoscut). 


Notați că şi browsable şi browseable sînt ambele cu sintaxă corectă. 


[pubread] 

path = /srv/samba/readonly 
comment = files to read 
read only = yes 

guest ok = yes 

browseable = no 


7.4. securitate sistem fişier 
create mask 


Puteți folosi create mask şi directory mask pentru a seta permisiunile maxime 
permise pentru noile fişiere şi directoare create. Masca de reţea pe care o 
setați este un ŞI mask (ia permisiunile). 


[tennis] 

path = /srv/samba/tennis 
read only = No 

guest ok = No 

create mask = 640 
directory mask = 750 
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force create mode 


Similar cu create mask, dar diferit. Dacă mask de mai sus era un logic ŞI, 
modul pe care îl setați aici este un logic SAU (astfel că adaugă permisiuni). 
Puteți folosi force create mode şi force directory mode pentru a seta 
permisiunile minime cerute pentru noile fişiere şi directoare create. 


[tennis] 

path = /srv/samba/tennis 
read only = No 

guest ok = No 

force create mode = 444 
force directory mode = 550 


security mask 


security mask şi directory security mask funcționează în aceeaşi modalitate cu 
create mask şi directory mask, dar se aplică doar cînd un utilizator windows 
schimbă permisiunile folosind căsuţa de dialog windows security. 


force security mode 


force security mode şi force directory security mode lucrează în aceeaşi 
modalitate ca force create mode şi force directory mode, dar se aplică doar cînd 
un utilizator windows schimbă permisiunile folosind căsuţa de dialog windows 
security. 


inherit permissions 


Cu inherit permissions = yes puteți să forțați noile fişiere şi directoare 
create să moştenească permisiunile de la directorul lor părinte, suprascriind 
setările create mask şi directory mask. 


[Lauthwrite] 

path = /srv/samba/authwrite 
comment = authenticated users only 
read only = no 

guest ok = no 

create mask = 600 

directory mask = 555 

inherit permissions = yes 
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7.5. practică: securitate partaje 


1. Creați un partaj cu drepturi de scriere numit sales, şi un partaj cu drepturi 
doar de citire numit budget. Verificaţi dacă funcționează. 


2. Limitaţți accesul la partajul sales la ann, sandra şi veronique. 
3. Asiguraţi-vă că roberto nu poate accesa partajul sales. 


4. Chiar dacă partajul sales are drepturi de scriere, ann ar trebui să aibă doar 
acces de citire. 


5. Chiar dacă partajul budget este cu drepturi doar de citire, sandra ar trebui 
de asemeni să aibă acces cu drepturi de scriere. 


6. Limitaţți un director partajat la subnetul 192.168.1.0/24, şi un alt partaj la 
cele două computere cu adresele ip 192.168.1.33 şi 172.17.18.19. 


7. Asiguraţi-vă că computerul cu ip-ul 192.168.1.203 nu poate accesa partajul 
budget. 


8. Asiguraţi-vă că (pe partajul budget) utilizatorii pot vedea doar fişiere şi 
directoare la care ei au acces. 


9. Asiguraţi-vă că partajul sales nu este vizibil cînd navigăm reţeaua. 


10. Toate fişierele create în partajul sales ar trebui să aibă permisiuni 640 
sau mai puțin. 


11. Toate directoarele create în partajul budget ar trebui să aibă permisiuni 
750 sau mai mult. 


12. Permisiunile pentru fişiere pe partajul sales nu ar trebui niciodată să fie 
setate la mai mult de 664. 


13. Permisiunile pentru fişiere pe partajul budget nu ar trebui niciodată să fie 
setate la mai puțin de 500. 


14. Dacă timpul permite (sau dacă aşteptaţi ca ceilalți studenţi să termine 
această practică), atunci combinați declarațiile "read only" şi "writable" 
pentru a verifica care dintre ele are prioritate. 


15. Dacă timpul permite atunci combinaţii "read list", "write list", "hosts 
allow" şi "hosts deny". Care dintre acestea au prioritate? 
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7.6. soluție: securitate partaje 


1. Creați un partaj cu drepturi de scriere numit sales, şi un partaj cu drepturi 
doar de citire numit budget. Verificaţi dacă funcționează. 


Vedeţi soluţiile anterioare pentru a face asta... 

2. Limitaţți accesul la partajul sales la ann, sandra şi veronique. 
valid users = ann, sandra, veronique 

3. Asiguraţi-vă că roberto nu poate accesa partajul sales. 

invalid users = roberto 


4. Chiar dacă partajul sales are drepturi de scriere, ann ar trebui să aibă doar 
acces de citire. 


read list = ann 


5. Chiar dacă partajul budget este cu drepturi doar de citire, sandra ar trebui 
de asemeni să aibă acces cu drepturi de scriere. 


write list = sandra 


6. Limitați un director partajat la subnetul 192.168.1.0/24, şi un alt partaj la 
cele două computere cu adresele ip 192.168.1.33 şi 172.17.18.19. 


hosts allow = 192.168.1. 


hosts allow = 192.168.1.33, 172.17.18.19 


7. Asiguraţi-vă că computerul cu ip-ul 192.168.1.203 nu poate accesa partajul 
budget. 


hosts deny = 192.168.1.203 


8. Asiguraţi-vă că (pe partajul budget) utilizatorii pot vedea doar fişiere şi 
directoare la care ei au acces. 


hide unreadable = yes 
9. Asiguraţi-vă că partajul sales nu este vizibil cînd navigăm reţeaua. 
browsable = no 


10. Toate fişierele create în partajul sales ar trebui să aibă permisiunii 640 
sau mai puțin. 


create mask = 640 


11. Toate directoarele create în partajul budget ar trebui să aibă permisiuni 
750 sau mai mult. 


force directory mode = 750 


12. Permisiunile pentru fişiere pe partajul sales nu ar trebui niciodată să fie 
setate la mai mult de 664. 


security mask = 664 
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13. Permisiunile pentru fişiere pe partajul budget nu ar trebui niciodată să fie 
setate la mai puțin de 500. 


force security directory mask = 500 

14. Dacă timpul permite (sau dacă aşteptaţi ca ceilalți studenţi să termine 
această practică), atunci combinați declarațiile "read only" şi "writable" 
pentru a verifica care dintre ele are prioritate. 


15. Dacă timpul permite atunci combinaţii "read list", "write list", "hosts 
allow" şi "hosts deny". Care dintre acestea au prioritate? 
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Capitolul 8. domeniu membru samba 


Conţinut 

8.1. schimbări în smb.conf. zen ES za al în și 
8.2. alăturare într-un domeniu Active Directory. 
8.3. winbind. 

8.4. wbinfo. A 

85. getent:. îi ce po mt e o 

8.6. proprietar fişier. .. . . . .. . 

8.7. practică: domeniu membru samba. . 
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8.1. schimbări în smb.conf 
workgroup 


Opțiunea workgroup în secțiunea [global] ar trebui să fie aceeaşi cu numele 
netbios a domeniului Active Directory. 


workgroup = STARGATE 
security mode 


Autentificarea nu va fi aranjată de samba acum, ci de controlatorii domeniului 
Active Directory, aşa că setăm opțiunea security la domain. 


security = Domain 
uid Linux 


Linux solicită un cont de utilizator pentru fiecare utilizator care accesează 
sistemul lui de fişiere, trebuie să înzestrăm Samba cu un cîmp al uid şi gid pe 
care poate să-l folosească pentru a crea aceste conturi de utilizator. Câmpul 
este determinat cu parametrii idmap uid şi idmap gid. Primul utilizator Active 
Directory pentru a se conecta va primi uid Linux 20000. 


idmap uid 20000-22000 
idmap gid = 20000-22000 


winbind use default domain 


Parametrul winbind use default domain asigură winbind că operează de asemeni pe 
utilizatori fără o componentă domain în numele lor. 


winbind use default domain = yes 
secțiunea [global] în smb.conf 


Mai jos este secțiunea noastră global nouă în smb.conf. 


[global] 

workgroup = STARGATE 

security = Domain 

server string = Stargate Domain Member Server 
idmap uid = 20000-22000 

idmap gid = 20000-22000 

winbind use default domain = yes 


domeniu în /etc/krb5.conf 


Pentru a ne conecta la un Windows 2003 sp2 (sau mai recent) trebuie să ajustaţți 
domeniul kerberos în /etc/krb5.conf şi să setați ambele declarații lookup la 
true. 


[libdefaults] 

default_realm = STARGATE. LOCAL 
dns_lookup_realm = true 
dns_lookup_kdc = true 
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secţiunea [share] în smb.conf 


Nimic special nu este cerut pentru secțiunea share în smb.conf. Țineți minte că 
nu am creat manual utilizatorii în smbpasswd sau pe Linux (/etc/passwd). Doar 
utilizatorilor Active Directory le este permis accesul. 


[domaindata] 

path = /srv/samba/domaindata 

comment = Active Directory users only 
read only = No 


8.2. alăturare într-un domeniu Active Directory 


În timp ce serverul Samba este oprit, puteţi folosi net rpc join pentru a 
alătura domeniul Active Directory. 


[rooteRHEL52 samba]t service smb stop 


Shutting down SMB services: [ Ok |] 
Shutting down NMB services: [ OK |] 
[rootQRHEL52 samba]t net rpc join -U Administrator 
Password: 


Joined domain STARGATE. 


Putem verifica în ADUC (Active Directory Users and Computers) dacă un cont de 
computer este creat pentru acest server samba. 


4 Active Directory Users and Computers = ID] x| 


E) File Action  Wiew Window Help 
e » || + 8 x Pa BIO gi?h ya 


Active Directory Lisers and Computer Psi aa 


Saved Queries —— 
(25) stargate local escription 
(7 Builtin Computer 


[43] Domain Controllers 
(3 ForeignSecurityPrincipals 
Users 


Ce CAI Le] 


8.3. winbind 
adăugând winbind la nsswitch.conf 
winbind daemon comunică cu domeniul Active Directory. 


Trebuie să aducem la zi fişierul /etc/nsswitch.conf acum, aşa încât utilizatorul 
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grup şi numele maşinilor să poată fi rezolvat împotriva daemonului winbind. 


[rootQRHEL52 samba]t vi /etc/nsswitch.conf 
[rootQeRHEL52 samba]t grep winbind /etc/nsswitch.conf 


passwd: files winbind 
group: files winbind 
hosts: files dns winbind 


pornire samba şi winbindd 
Este timpul să pornim Samba urmat de winbindd. 


[rootQRHEL4b samba] service smb start 


Starting SMB services: [ Ok |] 
Starting NMB services: [ Ok |] 
[rootQRHEL4b samba]t service winbind start 
Starting winbindd services: [ Ok |] 


[rootQRHEL4b samba] 
8.4. wbinfo 
verificați încrederea 


Puteţi folosi wbinfo -t pentru a verifica încrederea între serverul samba şi 
Active Directory. 


[rootQRHEL52 -]% wbinfo -t 
checking the trust secret via RPC calls succeeded 


listarea tuturor utilizatorilor 


Putem obține o listă a tuturor utilizatorilor cu comanda wbinfo -u. Domeniul nu 
este arătat cînd este setat parametrul winbind use default domain. 


[rootQRHEL52 -]4 wbinfo -u 
TEACHEROserena 
TEACHEROLjustine 
TEACHEROmartina 

STARGATE administrator 
STARGATE guest 

STARGATE support_388945a0 
STARGATENpol 

STARGATE krbtgt 

STARGATE arthur 

STARGATE harry 


listarea tuturor grupurilor 


Putem obține o listă a tuturor grupurilor domeniu cu comanda wbinfo -g. Domeniul 
nu este arătat cînd parametrul winbind use default domain este setat. 
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[rootQRHEL52 -]+ wbinfo -g 
BUILTINladministrators 
BUILTINNusers 
BATMANIdomain computers 
BATMANIdomain controllers 
BATMANischema admins 
BATMANNenterprise admins 
BATMANIdomain admins 
BATMANIdomain users 
BATMANNdomain guests 
BATMANIgroup policy creator owners 
BATMAN dnsupdateproxy 


interogarea unui utilizator 


Putem folosi wbinfo -a pentru a verifica autentificarea unui utilizator 
împotriva Active Directory. Presupunînd că un cont utilizator harry cu parola 
stargate este creat pe Active Directory, obținem următoarea captură de ecran. 


[rooteRHEL52 -]t wbinfo -a harry%stargate 
plaintext password authentication succeeded 
challenge/response password authentication succeeded 


8.5. getent 


Putem folosi getent pentru a verifica dacă winbindd funcționează şi în realitate 
adaugă utilizatori Active Directory în /etc/passwd. 


[rootQeRHEL52 -]+ getent passwd harry 
harry:x*:20000:20008:harry potter:/home/BATMAN/harry: /bin/false 
[rootQRHEL52 -]+ getent passwd arthur 
arthur:x:20001:20008:arthur dent: /home/BATMAN/arthur: /bin/false 
[rootQRHEL52 -]+ getent passwd bilbo 
bi lbo:x*:20002:20008:bilbo baggins: /home/BATMAN/bi lbo: /bin/false 


Dacă utilizatorul deja există local, atunci contul de utilizator local este 
afişat. Asta pentru că winbind este configurat în /etc/nsswitch.conf după files. 


[rooteRHEL52 -]t getent passwd paul 
paul:x:500:500:Paul Cobbaut:/home/paul: /bin/bash 


Toți utilizatorii Active Directory pot acum să se conecteze uşor la partajul 
Samba. Fişierele create de ei, aparțin lor. 


8.6. proprietar fişier 


[rootQRHEL4b samba]t Il /srv/samba/domaindata/ 

total 0 

-rwxr--r-- 1 justine 20000 0 Jun 22 19:54 create_by_justine_on_winxp.txt 
-rwxr--r-- 1 venus 20000 0 Jun 22 19:55 create_by_venus.txt 

-rwxr--r-- 1 maria 20000 0 Jun 22 19:57 Maria.txt 
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8.7. practică: domeniu membru samba 
1. Verficaţi dacă aveți un domeniu Active Directory (AD) care funcționează. 


2. Adăugați numele domeniului şi controlatorul domeniului în /etc/hosts. Setaţi 
AD-DNS în /etc/resolv.conf. 


3, Setați samba ca un membru server în domeniu. 
4. Verificaţi crearea unui cont de computer în AD pentru serverul samba. 


5. Verificaţi crearea automatică a utilizatorilor AD în /etc/passwd cu wbinfo şi 
getent. 


6. Conectați partajele samba cu utilizatorii AD, şi verificați proprietarea 
fişierelor lor. 
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Capitolul 9. controlator domeniu samba 


Conţinut 

9.1. despre controlatori domeniu. 

9.2. despre moduri securitate. 

9.3. despre password backends. 

9.4. secțiune [global] în smb.conf. 

9.5. partaj netlogon. a 

9.6. alte secțiuni [share]. 

9.7. utilizatori şi grupuri. 

9.8.  tdbsam. SA 3 eee în 40 

9.9. despre conturi computer. 

9.10. profile locale sau roaming. 

9.11. grupuri în NTFS acls. 

9.12. script-uri logon. . . . . . . . 
9.13. practică: controlator domeniu samba. 
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9.1. despre controlatori domeniu 
Windows NT4 


Windows NT4 funcționează cu controlatori de domeniu single master replication. 
Există exact un singur PDC (Primary Domain Controller) în domeniu, şi zero sau 
mai mulți BDC (Backup Domain Controllers). Samba 3 are toate avantajele găsite 
în Windows NT4 PDC şi BDC, şi mai mult. Asta include serviciul de fişier şi 
imprimantă, controlul domeniului cu un logon singular, scripturi Llogon, 
directoare home şi profile roaming. 


Windows 200x 


Cu Windows 2000 s-a introdus Active Directory. AD include politici replicare 
multimaster şi politici grup. Samba 3 poate să fie doar un server membru în 
Active Directory, ea nu poate să facă managementul politicilor grup. Samba 4 
poate face asta (în beta). 


Samba 3 


Samba 3 poate acționa ca un controlator domeniu în propriul lui domeniu. într-un 
domeniu Windows NT4, cu un singur Windows NT4 PDC şi zero sau mai multe BDC-uri, 
Samba 3 poate să fie doar un server membru. Acelaşi lucru este valid pentru 
Samba 3 într-un Domeniu Active Directory. Pe scurt, un controlator de domeniu 
Samba 3 nu poate partaja controlul domeniului cu controlatori domeniu Windows. 


Samba 4 

Samba 4 poate fi un controlator domeniu într-un domeniu Active Directory, 
incluzînd politici de management de grup. Cînd scriem aceste rînduri, Samba 4 nu 
este disponibilă pentru producție! 

9.2. despre moduri securitate 

security = share 

Modalitatea de funcționare a 'Windows for Workgroups! sînt cereri client care 
cer o conexiune partaj şi dau o parolă pentru acea conexiune. Oricine cunoaşte o 
parolă pentru un partaj poate accesa acel partaj. Acest model de securitate a 
fost comun în Windows 3.11, Windows 95, Windows 98 şi Windows ME. 

security = user 

Clientul va trimite un userid + parolă înainte ca serverul să cunoască care 
partaj vrea să acceseze clientul. Această modalitate ar trebui folosită oricând 
serverul samba deține controlul bazei de date utilizator. Ambele modalități 
pentru controlatorii samba standalone şi samba domeniu. 

security = domain 

Această modalitate va permite samba să verifice acreditările utilizator folosind 
NTLM în Windows NT4 şi în toate domeniile Active Directory. Asta este similar cu 
Windows NT4 BDC care se alătură unui domeniu nativ Windows 2000/3 Active 
Directory. 


security = ads 


Această modalitate va face ca samba să folosească Kerberos ca să se conecteze la 
domeniul Active Directory. 
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security = server 


Această modalitate este învechită, poate fi folosită pentru a înainta 
autentificarea la un alt server. 


9.3. despre password backends 

Capitolele anterioare au folosit toate baza de date utilizator smbpasswd. Pentru 
controlul domeniului optăm pentru parolă backend tdbsam. 0 altă opţiune ar fi să 
folosim LDAP. Domenii largi vor beneficia utilizînd LDAP în locul nu atît de 
escaladabil tdbsam. Cînd aveți nevoie de mai mult de un singur Controlator de 
Domeniu, atunci echipa Samba vă sfătuieşte să nu utilizați tdbsam. 

9.4. secţiune [global] în smb.conf 

Acum este un moment bun să începem să adăugăm comentarii în smb.conf. Mai întîi 
vom arunca o privire la numele domeniului nostru şi serverului în secțiunea 
[global], şi la parametrii de control domeniu. 

security 

security trebuie setat la utilizator (care este default-ul). Această modalitate 


va face samba să controleze conturile de utilizator, astfel îi va permite samba 
să acționeze ca un controlator domeniu. 


security = user 
os level 
Un server samba este cel mai stabil computer în rețea, astfel că ar trebui să 


cîştige toate alegerile browser (os level mai sus de 32) pentru a deveni browser 
master. 


os level = 33 
passdb backend 


Parametrul passdb backend va determina dacă samba foloseşte smbpasswd, tdbsam 
sau ldap. 


passdb backend = tdbsam 
preferred master 


Setînd parametrul preferred master la yes va face ca daemonul nmbd să forțeze o 
alegere la startup. 


preferred master = yes 
domain logons 


Setînd parametrul domain logons va face acest server samba un controlator 
domeniu. 


domain logons = yes 
domain master 
Setînd parametrul domain master poate face ca samba să ceară rolul domain master 


browser pentru workgroup-ul lui. Nu folosiți acest parametru într-un workgroup 
cu un NT4 PDC activ. 
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domain master = yes 
secțiunea [global] 


Captura de ecran de mai jos arată un exemplu de secțiune [global] pentru un 
controlator domeniu samba. 


[global] 

+ names 

workgroup = SPORTS 

netbios name = DCSPORTS 
server string = Sports Domain Controller 
domain control parameters 
security = user 

os level = 33 

preferred master = Yes 
domain master = Yes 

domain logons = Yes 


9.5. partaj netlogon 


O parte a definiției Microsoft pentru un controlator domeniu este aceea că ar 
trebui să aibă un partaj netlogon. Aceasta este partea relevantă a smb.conf 
pentru a crea acest partaj netlogon pe Samba. 


[netlogon] 

comment = Network Logon Service 
path = /srv/samba/netlogon 
admin users = root 

guest ok = Yes 

browseable = No 


9.6. alte secțiuni [share] 


Am creat unele secțiuni pentru partaje de fişiere, pentru a testa serverul 
samba. Toţi utilizatorii pot accesa partajul general de fişier sports, dar numai 
membrii grup pot accesa propriul lor partaj sports. 


[sports] 

comment = Information about all sports 
path = /srv/samba/sports 

valid users = entsports 

read only = No 


[tennis] 

comment = Information about tennis 
path = /srv/samba/tennis 

valid users = Enttennis 

read only = No 


[football] 

comment = Information about football 
path = /srv/samba/football 

valid users = entfootball 

read only = No 
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9.7. utilizatori şi grupuri 


Pentru a putea folosi utilizatori şi grupuri în controlatorul domeniu samba, 
putem mai întîi seta unele grupuri pe computerul Linux. 


[rootQRHEL52 samba]t groupadd ntadmins 
[rooteRHEL52 samba]t groupadd ntsports 
[rooteRHEL52 samba]t groupadd ntfootball 
[rooteRHEL52 samba]t groupadd nttennis 


Asta ne permite să adăugăm informații despre membrii grup unor noi utilizatori 
pentru domeniul nostru samba. Nu uitaţi să le dați o parolă. 


[rootQRHEL52 samba] useradd -m -G ntadmins Administrator 
[rooteRHEL52 samba]t useradd -m -G ntsports,nttennis venus 
[rooteRHEL52 samba]t useradd -m -G ntsports,nttennis kim 
[rooteRHEL52 samba]t useradd -m -G ntsports,nttennis jelena 
[rootQRHEL52 samba]t useradd -m -G ntsports,ntfootball figo 
[rooteRHEL52 samba]t useradd -m -G ntsports,ntfootball ronaldo 
[rooteRHEL52 samba]t useradd -m -G ntsports,ntfootball pfaff 


Este întotdeauna sigur să verificănm crearea utilizatorilor, grupurilor şi 
parolelor în /etc/passwd, /etc/shadow şi /etc/group. 


[rooteRHEL52 samba]t tail -11 /etc/group 
ntadmins:x:507:Administrator 
ntsports:x:508:venus,kim,jelena,figo,ronaldo,pfaff 
ntfootball:x:509:figo,ronaldo,pfaff 
nttennis:x:510:venus,kim,jelena 
Administrator:x:511: 

venus:x:512: 

kim:x:513: 

jelena:x:514: 

figo:x:515: 

ronaldo:x:516: 

pfaff:x:517: 


9.8. tdbsam 


Apoi trebuie să facem aceşti utilizatori cunoscuți pentru samba cu utilitarul 
smbpasswd. Cînd adăugați primul utilizator la tdbsam, va fi creat fişierul 
/etc/samba/passdb. tdb. 


[rootQRHEL52 samba] smbpasswd -a root 

New SMB password: 

Retype new SMB password: 

tdbsam_open: Converting version 0 database to version 3. 
Added user root. 


Adăugînd pe toți ceilalți utilizatori generează mai puține ieşiri, pentru că 
tdbsam este deja creat. 


[rootQRHEL4b samba] smbpasswd -a root 
New SMB password: 

Retype new SMB password: 

Added user root. 
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9.9. despre conturi computer 


Fiecare computer NT (Windows NT, 2000, XP, Vista) poate deveni un membru al unui 
domeniu. Alăturînd domeniul (click dreapta pe My Computer) înseamnă că un cont 
de computer va fi creat în domeniu. Acest cont de computer are de asemeni o 
parolă (dar nu puteţi s-o ştiţi) pentru a preveni alte computere cu acelaşi nume 
ca nu cumva accidental să devină membru al domeniului. Contul computer creat de 
samba este vizibil în fişierul /etc/passwd pe Linux. Conturile de computer apar 
ca un cont de utilizator normal, dar termină numele lor cu semnul dolar. Mai 

jos este un screenshot a unui cont de computer Windows 2003, creat de Samba 3. 


[rooteRHEL52 samba]t tail -5 /etc/passwd 
jelena:x:510:514::/home/jelena: /bin/bash 
figo:x:511:515::/home/figo: /bin/bash 
ronaldo:x:512:516::/home/ronaldo: /bin/bash 
pfaff:x:513:517::/home/pfaff:/bin/bash 
w2003eeș:x:514:518:: /home/nobody: /bin/false 


Pentru a putea crea contul, trebuie să dați acreditările unui cont cu 
permisiunea de a crea conturi (prin default doar root poate face asta pe Linux). 
Şi va trebui să-i spunem samba cum să facă asta, adăugând un add machine script 
în secțiunea [global] a smb.conf. 


add machine script = /usr/sbin/useradd -s /bin/false -d /home/nobody %u 


Acum puteți alătura un computer Microsoft la domeniul sports (cu utilizatorul 
root). După restartarea computerului Microsoft, veţi fi capabili să intrați cu 
(userul) Administrator (parolă Stargate), dar veți primi o eroare despre 
profilul roaming. Vom fixa asta în secțiunea următoare. 


Cînd alăturați domeniul samba, trebuie să introduceți acreditările unui cont 
Linux care poate crea utilizatori (de obicei doar root poate face asta). Dacă 
computerul Microsoft se plînge cu The parameter is incorrect, atunci în mod 
posibil ați uitat să adăugaţi add machine script. 


9.10. profile locale sau roaming 
E bine de ştiut, dacă vreţi să forțați profilele locale în loc de profilele 


roaming, să adăugați atunci următoarele două linii în secțiunea global în 
smb. conf. 


logon home = 
logon path 


Computerele Microsoft stochează foarte multe metadate utilizator şi date de 
aplicaţii într-un profil utilizator. Făcând acest profil disponibil pe reţea va 
da voie utilizatorilor să-şi păstreze setările desktop şi aplicațiile între 
computere. Profilele utilizatorilor pe reţea sînt numite roaming profiles sau 
roving profiles. Controlatorul de domeniu Samba poate face managementul acestor 
profile. Mai întîi trebuie să adăugăm secțiunea relevantă în smb.conf. 


[Profiles] 

comment = User Profiles 
path = /srv/samba/profiles 
readonly = No 

profile acls = Yes 


în afară de secțiunea partaj, trebuie de asemeni să setăm locația profilurilor 
partaj (asta poate fi un alt server samba) în secțiunea global. 
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logon path = |W%LYProfilesi%U 


Variabila %L este numele acestui server samba, variabila %U face translația la 
numele de utilizator. După ce adăugăm un utilizator la smbpasswd şi lăsăm ca 
utilizatorul să intre şi să iasă din sistem, profilul utilizatorului va arăta 
astfel. 


[rooteRHEL4b samba]t Il /srv/samba/profiles/Venus/ 
total 568 
drwxr-xr-x 
drwxr-xr-x 
drwxr-xr-x 
drwxr-xr-x 


Venus Venus 4096 Jul 
Venus Venus 4096 Jul 
Venus Venus 4096 Jul 
Venus Venus 4096 Jul 
drwxr-xr-x Venus Venus 4096 Jul 
drwxr-xr-x Venus Venus 4096 Jul 


4 10:03 Application Data 
2 
3 
3 
4 
2 
-rwxr--r-- 1 Venus Venus 524288 Jul 
1 
1 
2 
2 
2 
3 
2 


10:03 Cookies 
10:03 Desktop 
10:03 Favorites 
10:03 My Documents 
10:03 NetHood 

2007 NTUSER.DAT 
2007 NTUSER.DAT.LOG 
10:03 ntuser.ini 
10:03 PrintHood 
10:03 Recent 

10:03 SendTo 

10:03 Start Menu 
10:03 Templates 


-rwxr-==r== Venus Venus 1024 Jul 
-rw-r--r-- Venus Venus 268 Jul 
drwxr-xr-x Venus Venus 4096 Jul 
drwxr-xr-x Venus Venus 4096 Jul 
drwxr-xr-x Venus Venus 4096 Jul 
drwxr-xr-x Venus Venus 4096 Jul 
drwxr-xr-x Venus Venus 4096 Jul 


O UUUUUUUUUUUNU UI 


9.11. grupuri în NTFS acls 
Avem utilizatori pe Unix, avem grupuri pe Unix care conțin aceşti utilizatori. 
[rooteRHEL4b samba]t grep nt /etc/group 


ntadmins:x:506:Administrator 
ntsports:x:507:Venus,Serena,Kim,Figo,Pfaff 
nttennis:x:508:Venus,Serena,Kim 
ntfootball:x:509:Figo,Pfaff 

[rootQRHEL4b samba] 


Am adăugat deja Venus la tdbsam cu smbpasswd. 


smbpasswd -a Venus 


Asta înseamnă că Venus poate accesa partajele tennis şi sports? Da, toate 
accesările funcționează bine pe serverul samba. Dar grupul nttennis nu este 
disponibil pe maşinile Windows. Pentru a face grupurile disponibile pe Windows 
(ca în tab-ul ntfs security asupra fişierelor şi directoarelor), trebuie să 
mapăm grupurile Unix la grupurile Windows. Pentru a face asta, folosim comanda 
net groupmap. 


67 


[rooteRHEL4b samba]t net groupmap add ntgroup="tennis" unixgroup=nttennis type=d 
No rid or sid specified, choosing algorithmic mapping 
Successully added group tennis to the mapping db 


[rooteRHEL4b samba]t net groupmap add ntgroup="football" unixgroup=ntfootball 
type=d 

No rid or sid specified, choosing algorithmic mapping 

Successully added group football to the mapping db 


[rooteRHEL4b samba]t net groupmap add ntgroup="sports" unixgroup=ntsports type=d 
No rid or sid specified, choosing algorithmic mapping 

Successully added group sports to the mapping db 

[rootQRHEL4b samba] 


Acum puteți folosi grupurile samba pe toate volumele NTFS pe membrii domeniului. 
9.12. script-uri logon 


înainte de a testa un script logon, asigurați-vă că are încărcătura circuit 
invers corectă pe care fişierele DOS le au. 


[rooteRHEL4b netlogon]t cat start.bat 

net use Z: |IDCSPORTSOISPORTS 

[rooteRHEL4b netlogon]t unix2dos start.bat 

unix2dos: converting file start.bat to DOS format ... 
[rootQRHEL4b netlogon]t 


Apoi copiaţi script-urile la partajul netlogon, şi adăugaţi următorul parametru 
la smb.conf. 


logon script = start.bat 
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9.13. practică: controlator domeniu Samba 
1. Setați samba ca un controlator domeniu. 


2. Creați partajele salesdata, salespresentations şi meetings. salesdata trebuie 
să fie accesibil tuturor vînzătorilor şi tuturor managerilor. salespresentations 
este doar pentru toți vînzătorii. meetings este accesibil doar tuturor 
managerilor. Folosiţi grupuri pentru a îndeplini acestea. 


3. Alăturaţi un computer Microsoft la domeniu. Verificaţi crearea unui cont 
computer în /etc/passwd. 


4. Setați şi verificați funcționarea corespunzătoare a profilelor roaming. 


5. Găsiți informații despre directoarele home pentru utilizatori, setați-le şi 
verificați ca utilizatorii să primească directoarele lor home mapate sub disk-ul 
H: în MS Windows Explorer. 


6. Folosiţi două domenii grup samba cu membri pentru a seta acl pe ntfs. 
Verificaţi dacă funcționează! 


7. Ştiind că variabila %m conține numele de computer, creați un fişier-jurnal 
separat pentru fiecare computer (cont). 


8. Ştiind că %s conține sistemul de operare a maşinii care efectuează cererea, 
includeți un fişier smb.%s.conf care conține un partaj. (Partajul va fi doar 
vizibil maşinilor care efectuează cererea cu acel sistem de operare). 


9. Dacă timpul permite (sau dacă aşteptaţi ca ceilalți studenți să termine 
această practică), atunci combinaţți "valid users" şi "invalid users" cu grupuri 
şi nume de utilizator cu "hosts allow" şi "hosts deny" şi faceți un tabel cu 
cine primeşte prioritate asupra celorlalți. 
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Capitolul 10. o scurtă privire la samba 4 

Conţinut 

101. Samba: 4' alpha: 6-2 pc e e e o e oi E re ae 0 8 a a A cai a a al O 
10.1. Samba 4 alpha 6 


O scurtă privire la samba 4 alpha 6 (ianuarie 2009). Puteţi de asemeni urma 
acest ghid http://miki.samba.org/index.php/Samba4/HOWTO 


Ştergeţi vechea Samba din Red Hat. 

yum remove samba 

Setați o adresă cu ip fix (Red Hat are un GUI uşor). 
Downloadaţi şi extrageţi 


samba.org, click 'download info', alegeţi oglinda, download samba4 cea mai 
recentă alpha 


Odată extrasă cu untar, intrați în director şi citiți howto4.txt. 
cd samba-4.0.0alpha6/ 

more howto4.txt 

Mai întîi trebuie să configurăm, să compilăm şi să instalăm samba4. 
cd source4/ 

„/configure 

make 


make install 


Apoi putem folosi scriptul dat pentru a seta domeniul. Am utilizat booi.schot ca 
nume de domeniu (în loc de example.com). 


„/setup/provision --realm=BO0I.SCHOT --domain=BO0I --adminpass=stargate | 
--server-role="'domain controller! 


Am adăugat un partaj simplu pentru testare: 
vi /usr/local/samba/etc/smb. conf 

Apoi am pornit samba: 

cd /usr/local/samba/sbin/ 

. /samba 

Am testat cu smbclient, funcționează: 


smbclient //localhost/test -Uadministratorăstargate 
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Am verificat dacă bind (şi bind-chroot) au fost instalate (da), aşa că am copiat 
înregistrările srv: 


cp booi.schot.zone /var/named/chroot/etc/ 


Apoi am adăugat la named.conțf: 


cat named.conf >> /var/named/chroot/etc/named. conf 
Am urmat aceşti paşi din howto4.txt. 


vi /etc/init.d/named [added two export lines right after start()] 
chmod a+r /usr/local/samba/private/dns.keytab 

cp krb5.conf /etc/ 

vi /var/named/chroot/etc/named.conf 

--> remove a lot, but keep allow-update î( any; |; 


Am restartat bind (named!), apoi am testat dns cu dig, asta funcționează 
(captură de ecran trunchiată!). 


[rootQRHEL52 private] dig _ldap._tcp.dc._msdcs.booi.schot SRV Qlocalhost 


; (1 server found) 

;; global options: printcmd 

;; Got answer: 

;; —HEADER- opcode: QUERY, status: NXDOMAIN, id: 58186 

;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0 


;3 QUESTION SECTION: 
; ldap._tcp.dc._msdcs.booi.schot. IN SRV 


;3 AUTHORITY SECTION: 
10800 IN SOA A.ROOT-SERVERS.NET... 


;;Query time: 54 msec 
;; SERVER: 127.0.0.1453(127.0.0.1) 
;;WHEN: Tue Jan 27 20:57:05 2009 
;;MSG SIZE rcvd: 124 


[rootQeRHEL52 private]t 


Ne-am asigurat că /etc/resolv.conf ţinteşte către el însuşi. 


[rooteRHEL52 private]t cat /etc/resolv.conf 
search booi.schot 
nameserver 127.0.0.1 


Am pornit Windows 2003 server, am introdus samba4 ca DNS! 


Am făcut ping domeniului, dacă nu funcționează, atunci adăugaţi hostname-urile 
redhat la domeniu în windows/system32/drivers/etc/hosts. 


Am unit computerul Windows la domeniu. 
Am restartat Windows. 


Am intrat în computer ca administrator stargate. 
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Am pornit dsa.msc pentru a face managementul samba4. 


Am creat un 0U, un utilizator GPO, testați dacă funcționează. 
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Partea II. server dns 
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Capitolul 11. introducere în DNS 


Conţinut 

11.1. despre dns. 

11.2. spaţiu de nume ans. 

11.3. servere caching only. 

11.4. servere dns autoritative. 

11.5. primar şi secundar. 

11.6. transferuri de zone. 

11.7. master şi slave. 

11.8. înregistrări SOA. 

11.9. zone de transfer depline. sau 'incrementale. 
11.10. DNS cache. sti nia 

11.11. exemplu zonă forward lookup. 

11.12. practică: server DNS caching only. 
11.13. practică: caching only cu forwarder. 
11.14. practică: server autoritativ primar. 
11.15. practică: DNS în revers. i 
11.16. practică: un server DNS slave. 


Fiecare computer 


dns. 


modem sau ruter. 


pe internet este conectat la un arbore imens mondial de servere 
Cele mai multe organizații au mai mult decît un singur server dns, 
Zonele Network Personale au un server dns construit în interior într-un mic 


şi chiar 


în acest capitol vom explica ce este în realitate dns şi cum să-l setăm folosind 


Linux. 
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11.1. despre dns 
rezoluția nume la adresă-ip 


domain name system sau dns (domeniu nume sistem) este un serviciu pe o reţea 
tcp/ip care permite clienților să transleze (să traducă) nume în adrese-ip. Este 
mult mai mult decît atît, dar să păstrăm lucrurile simple pentru moment. 


Cînd folosiți un browser ca să intrați pe un site web, atunci tastați numele 
acelui website în bara de adrese url. Dar pentru a comunica realmente cu 
serverul web care găzduieşte numitul website, computerul nostru are nevoie de 
adresa-ip a acelui server web. Aici intră în acțiune dns. 


Where is google.com ? 
CP Fr 


6, 
PP It is at 66.102.13.105. 
y III 


192.168.1.30 


21.2.71.8.10 


în wireshark puteți folosi filtrul dns pentru a vedea acest trafic. 


nec Jane II soresten..] deac sooo 


No... Time Source Destination Protocol Info 


istorie 


în anii 1970, doar cîteva sute de computere erau conectate la internet. Pentru a 
rezolva nume, computerele aveau un fişier care conținea un tabel pentru a 
rezolva hostname-uri în adrese-ip. Acest fişier local era downloadat de pe 
hosts.txt pe un server ftp în Stanford. 


În 1984 Paul Mockapertis a creat dns, o bază de date arborescentă distribuită 
ierarhic care va fi explicată în detaliu în aceste capitole. 


Astăzi, dns sau domeniu nume sistem este o bază de date mondială distribuită 
ierarhic controlată de ICANN. Funcţia lui primară este de a rezolva nume în 
adrese ip, şi să îndrepte către servere internet care dau servicii smtp sau 
ldap. 


Vechiul fişier hosts.txt este încă activ astăzi pe cele mai multe sisteme de 
computer sub numele /etc/hosts. Vom discuta acest fişier mai tîrziu, deoarece el 
poate influiența rezoluția numelui. 

interogări deferente înainte şi revers 

întrebarea pe care o cere un client unui server dns este numită o interogare. 


Cînd un client interoghează o adresă-ip, asta se numeşte interogare deferentă 
înainte (precum se vede în desenul de mai sus). 
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Reversul, o interogare pentru numele unui hostname, este numită interogare 
deferentă revers. 


Who is 178.63.30.100 ? 

. ——— [ 
PP It is antares.ginsys.net. 
— 7 A A LE 


192.168.1.30 


212.71.8.10 


Mai sus este un desen al unei interogări deferente revers. 
Aici este o captură de ecran a unei interogări deferente revers în nslookup. 


pauleubul010:-ș$ nslookup 
> set type=PTR 

> 178.63.30.100 

Server: 212.71.8.10 
Address: 212.71.8.10453 


Non-authoritative answer: 
100.30.63.178.in-addr.arpa name = antares.ginsys.net. 


Astfel arată o deferenţă revers cînd interceptănm cu wireshark. 


er [ăn 1 esoresaen.] tar] pop 


| No. . Time Source Destination Protocol Info 


/etc/resolv.conf 


Un computer client trebuie să ştie adresa ip a serverului dns pentru a fi 
capabil să-i trimită interogări. Asta este fie dată de serverul dhcp sau scrisă 
manual. 

Clienţii Linux păstrează această informație în fişierul /etc/resolv.conf. 


pauleubul010:-$ cat /etc/resolv.conf 
nameserver 212.71.8.10 


11.2. spațiu de nume dns 
ierarhie 
numele de spaţiu dns (dns namespace) este o structură arborescentă ierarhică, cu 


serverele root (cunoscute şi sub denumirea servere-dot) la vîrf. Serverele root 
sînt de obicei reprezentate printr-un punct. 
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Mai jos de serverele-root sînt Domeniile de Nivel Superior (Top Level Domains) 
sau tld-uri. 


Există mai multe tld-uri decât sînt prezentate în acest desen. În mod curent 
aproape 200 de țări au un tld. Şi există cîteva tld-uri generale 

ca .com, .edu, .org, .gov, .net, .mil, .int şi mai recent de asemeni 

„aero, .info, .museum, 


servere root 


Există 13 servere root pe internet, ele sînt numite de la A la M. Jurnaliştii 
fac deseori referire la aceste servere ca fiind serverele master ale 
internetului, deoarece dacă aceste servere nu funcționează, atunci nimeni nu 
poate (să folosească nume) să se conecteze la site-uri web. 

Serverele root nu sînt 13 maşini fizice, ele sînt mai multe. De exemplu serverul 
root F constă din 46 de maşini fizice care se comportă toate ca unul singur 
(folosind anycast). 


http://root-servers.org 
http://f.root-servers.org 
http://en.wikipedia.org/wiki/Root_nameserver. 
root indicativi 


Fiecare software server dns va veni cu o listă de root indicativi pentru a 
localiza serverele root. 
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rootegwen:-t grep ! A ! /etc/bind/db.root 


A.ROOT-SERVERS.NET. 3600000 A 198.41.0.4 
B.ROOT-SERVERS.NET. 3600000 A 192 .228.79.201 
C.ROOT-SERVERS.NET. 3600000 A 192.33.4.12 
D.ROOT-SERVERS.NET. 3600000 A 128.8.10.90 
E.ROOT-SERVERS.NET. 3600000 A 192.203.230.10 
F.ROOT-SERVERS.NET. 3600000 A 192.5.5.241 
G.ROOT-SERVERS.NET. 3600000 A 192.112 .36.4 
H.ROOT-SERVERS.NET. 3600000 A 128.63.2.53 
I.ROOT-SERVERS.NET. 3600000 A 192.36.148.17 
J.ROOT-SERVERS.NET. 3600000 A 192.58.128.30 
K.ROOT-SERVERS.NET. 3600000 A 193.0.14.129 
L.ROOT-SERVERS.NET. 3600000 A 199.7.83.42 
M.ROOT-SERVERS.NET. 3600000 A 202.122.27.33 
domenii 


Cu un nivel mai jos de domeniile de nivel înalt sînt domeniile. Domeniile pot 
avea subdomenii (de asemeni numite domenii child - copil). 


Acest desen arată domenii dns ca google.com, chess.com, linux-training.be 


(există mai multe milioane). 


LA MAI 


"com" "org" De 
"google.com"  "chess.com" "linux-training.be" 


Domeniile DNS sînt înregistrate la serverele tld, serverele tld sînt 
înregistrate la serverele root. 


Domenii de Nivel Superior 


Mai jos de nivelul root există domenii de nivel superior sau tld. în mod 
originar au fost definite doar şapte: 


Tabelul 11.1. primele domenii de nivel superior 


an TLD scop 

1985 „arpa  Interogări deferente revers prin iîin-addr.arpa 

1985 „Com Organizații Comerciale 

1985 „edu Instituții Educaţționale USA 

1985 .gov Instituții Guvernamentale USA 

1985 „mil Armata USA 

1985 „net Furnizori de Servicii Internet, Infrastructură Internet 
1985 „org Organizații non-profit 

1988 „int Tratate Internaţionale ca nato.int 
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tld-uri pentru ţară au fost definte pentru ţări individuale, ca .uk în 1985 
pentru Anglia (da, într-adevăr), .be pentru Belgia în 1988 şi .fr pentru Franța 
în 1986. Vedeți RFC 1591 pentru mai multe informații. 


În 1998 şapte noi tld-uri pentru scopuri generale au fost alese, ele au devenit 
active în secolul 21. 


Tabelul 11.2. noi scopuri generale tld 


an TLD scop 

2002 „aero în legătură cu aviația 

2001 „biz business 

2001 „Coop pentru cooperative 

2001 „info resurse informatice internet 

2001 „museum pentru muzee 

2001 „name pentru toate tipurile de nume, pseudonime şi mărci .. 
2004 „pro pentru profesionişi 


Multă lume a fost surprinsă de alegeri, necerînd mult pentru folosirea lor şi 
dorind un domeniu separat .xxx pentru conținut adult (introdus în 2011), şi 
„kidz un rai sigur pentru copii. între timp mai multe tld-uri nefolositoare au 
fost create ca .travel (pentru agenţi de călătorie), .tel (pentru comunicări 
prin internet) şi .jobs (site-uri pentru job-uri). 


nume domeniu calificat deplin 


fully gualified domain name sau fqdn (nume domeniu calificat deplin) este o 
combinație a unui hostname a unei maşini adăugat cu numele domeniului lui. 


Dacă de exemplu un sistem este numit gwen şi este în domeniul linux-training.be, 
atunci fqdn-ul acestui sistem este gwen. linux-training.be. 


Pe sistemele Linux puteți folosi comenzile hostname şi domainname pentru a 
verifica această informație. 


rootâgwen:-% hostname 

gwen 

rootâgwen:-f domainname 
linux-training.be 
rootâgwen:-% hostname --fqdn 
gwen. linux-training.be 


zone dns 
O zonă (cunoscută şi ca zonă de autoritate) este o porțiune a arborelui DNS care 
acoperă un singur nume domeniu sau un nume domeniu child. Desenul de mai jos 


arată zonele ca ovaluri albastre. Unele zone vor conține autoritate delegată 
asupra unui domeniu child spre o altă zonă. 
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cor "be" 
/ N pi 


"google.com" "chess.com"  "linux-training.be" 


"mail.google.com" 


"test.linux-training.be" 


Un server dns poate fi autoritativ asupra 0, 1 sau mai multe zone dns. Vom vedea 
mai multe detalii mai tîrziu despre relația dintre un server dns şi o zonă dns. 


O zonă dns constă din înregistrări, de asemeni numite înregistrări resursă. Vom 
lista unele dintre aceste înregistrări resursă pe pagina următoare. 


înregistrări dns 

A record (înregistrare A) 

înregistrarea A, care de asemeni este numită o înregistrare host conține adresa 
ipv4 a unui computer. Cînd un client DNS interoghează un server DNS pentru o 
înregistrare A, atunci serverul DNS va rezolva numele de maşină (hostname) din 
interogare la o adresă ip. 0 înregistrare AAAA este similară dar conține o 
adresă ipv6 în loc de ipv4. 


PTR record (înregistrare PTR) 


O înregistrare PTR este reversul unei înregistrări A. Ea conține numele unui 
computer şi poate fi utilizată pentru a rezolva o adresă ip la un hostname. 


înregistrare NS 

O înregistrare NS sau înregistrare nume server este o înregistrare care ținteşte 
spre un server nume DNS (în această zonă). Puteţi lista toate numele de servere 
pentru zona DNS în înregistrări distincte NS. 


înregistrare glue A 


O înregistrare A care face maparea numelui unei înregistrări NS la o adresă de 
ip se spune că este o înregistrare glue. 


înregistrare SOA 
Înregistrarea SOA a unei zone conține meta informație despre zona însăşi. 
Conținutul înregistrării SOA este explicată în detaliu în secțiunea despre 


transferuri de zone. Există exact o singură înregistrare SOA pentru fiecare 
zonă. 
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înregistrare CNAME 


O înregistrare CNAME mapează un hostname la un hostname, creînd în mod efectiv 
un alias pentru un hostname existent. Numele serverului poştă este deseori făcut 
ca alias la mail sau smtp, şi numele unui server web la www. 


înregistrare MX 


Înregistrarea MX ținteşte spre un server smtp. Cînd trimiteţi un e-mail în alt 
domeniu, atunci serverul de poştă va avea nevoie de înregistrarea MX a țintei 
domeniului serverului poştă. 


11.3. servere caching only 


Un server dns care este setat fără autoritate asupra unei zone, dar este 
conectat la alte servere nume şi depozitează interogările, este numit un server 
de nume caching only. Serverele de nume caching only nu au o zonă de bază de 
date cu înregistrări resursă. În schimb ele se conectează la alte servere nume 
şi depozitează acea informaţie. 


Există două feluri de servere caching only. Acelea cu un expeditor (forwarder), 
şi acelea care utilizează serverele root. 


server caching only cu expeditor 
Un server de nume caching only cu expeditor este un server DNS care va lua toate 


informațiile lui de la expeditor. Expeditorul trebuie să fie un server dns de 
exemplu serverul dns al unui ofertant de servicii internet [isp]. 


internet 


company DNS server 


"the forwarder” 


Acest desen arată un server dns pe un LAN al unei companii care a setat serverul 
dns de la isp-ul lor ca expeditor. Dacă adresa ip a serverului dns isp este 
212.71.8.10, atunci următoarele linii ar trebui să existe în fişierul named.conf 
al server-ului dns al companiei: 


forwarders ( 
212.71.8.10; 
3 


server caching only fără expeditor 


Un server caching only fără expeditor (forwarder) va trebui să ia informația din 
altă parte. Cînd primeşte o interogare de la un client, atunci el va consulta 
unul dintre serverele root. serverul root va raporta asta la un server tld, care 
va raporta asta la un alt server dns. Ultimul server ar putea şti răspunsul la 
interogare, sau poate să facă referire la încă un alt server. La sfîrşit, 
serverul nostru dns care munceşte din greu va găsi un răspuns şi transmite 
informația înapoi la client. 
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în desenul de mai jos, clienţii cer adresa ip a linux-training.be. Serverul 
nostru caching only va contacta serverul root, şi este trimis la serverul .be. 
Atunci va contacta serverul .be şi va face trimitere la unul dintre serverele de 
nume al Openminds. Unul dintre aceste servere de nume (în acest caz 
ns1.openminds.be) va răspunde interogării cu adresa ip a linux-training.be. Cînd 
serverul nostru caching only raportează asta clientului, atunci clientul poate 
să se conecteze la acest website. 

e IN] 


— N 
re "org" "com" 


N 


"linux-training.be" "ns1.openminds.be” 


Where is linux-training.be ? 
CO [ 


pa „It is at 178.63.30.100. 
d 


interogări repetate sau recursive 


O interogare recursivă este o interogare DNS unde clientul care face interogarea 
aşteaptă un răspuns complet (ca săgețile groase roşii de mai sus care merg de la 
Macbook la serverul DNS). 0 interogare repetată este o interogare DNS unde 
clientul nu aşteaptă un răspuns complet (cele trei săgeți negre care pleacă de 
la serverul DNS în desenul de mai sus). Interogările repetate de obicei iau loc 
între serverele de nume. Serverele de nume root nu răspund la interogări 
recursive. 


11.4. servere dns autoritative 
Un server DNS care controlează o zonă, se spune că este serverul DNS autoritativ 


pentru acea zonă. Țineţți minte că o zonă este o colecție de înregistrări 
resursă. 


A SOA 


"linux-training.be” 


MX A 
NS 
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11.5. primar şi secundar 


Cînd setați primul server dns autoritativ pentru o zonă, atunci acesta este 
numit serverul dns primar. Acest server va avea o copie care poate fi citită şi 
scrisă a bazei de date zonă. Din motive de toleranță la avarie, performanță sau 
echilibrarea solicitărilor puteți decide să setați un alt server dns cu 
autoritate deasupra acelei zone. Acesta este numit un server dns secundar. 


« 
M 


writable copy of the zone readonly copy of the zone 


11.6. transferuri zone 


Serverul slave primeşte o copie a bazei de date zonă de la serverul master 
folosind o zonă transfer. Transferurile zone sînt cerute de către serverele 
slave la intervale regulate. Acele intervaluri sînt definite în înregistrările 
SOA. 


zone transfer 


11.7. master şi slave 


Cînd adăugați un server dns secundar la o zonă, atunci veți configura acest 
server ca un server slave la serverul primar. Serverul primar atunci devine 
serverul master a serverului slave. 


Deseori serverul primar dns este serverul master al tuturor slave-urilor. Uneori 
un server slave este serverul master pentru a doua linie server slave. în 
desenul de mai jos ns1 este serverul dns primar şi ns2, ns3 şi ns4 sînt 
secundari. Master-ul pentru slave ns2 şi ns3 este ns1, dar master-ul pentru ns4 
este ns2. 
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master slave 


zone transfer zone transfer 5 


11.8. înregistrare SOA 


înregistrarea soa conține o valoare refresh. Dacă aceasta este setată la 30 de 
minute, atunci serverul slave va solicita o copie a zonei fişier la fiecare 30 
de minute. Există de asemeni o valoare retry. Valoarea retry este utilizată cînd 
serverul master nu a răspuns la ultima cerere zonă de transfer. Valoarea pentru 
expirarea timpului spune cît de mult timp serverul slave va răspunde la 
interogări, fără a primi un update asupra zonei. 


Mai jos este un exemplu cum să folosim nslookup pentru a interoga înregistrarea 
soa a unei zone (Linux-training.be). 


rootedebian6:-4 nslookup 

> set type=SO0A 

> server nsl.openminds.be 

> Linux-training.be 

Server: ns1.openminds.be 
Address: 195.47.215.14453 


linux-training.be 
origin = nsl.openminds.be 
mail addr = hostmaster.openminds.be 
serial = 2321001133 
refresh = 14400 
retry = 3600 
expire = 604800 
minimum = 3600 


Transferurile de zonă se petrec doar cînd baza de date a zonei a fost updatată 
(însemnînd cînd una sau mai multe înregistrări resurse au fost adăugate, scoase 
sau schimbate pe serverul master). Serverul slave va compara numărul serial a 
propriei lui copii a înregistrării SOA cu numărul serial a înregistrării SOA a 
master-ului. Cînd ambele numere seriale sînt identice, atunci nici un update nu 
este necesar (pentru că nici un fel de înregistrări nu au fost adăugate, scoase 
sau şterse). Cînd serverul slave are un număr serial mai mic decît master-ul 
său, atunci un transfer de zonă este cerut. 


Mai jos este un transfer de zonă capturat în wireshark. 
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Time Source Destination Protocol Info 

1 0.000000 192.168.1.37  192.168.1.35 DNS Standard query SOA cobbaut.paul 

2 0.008502 192.168.1.35  192.168.1.37 DNS Standard query response SOA ns.cobbaut.paul 
3 0.014672 192.168.1.37  192.168.1.35 TCP 33713 > domain [SYN] Seq=0 Win=5840 Len=0 Ms 
4 0.015215 192.168.1.35  192.168.1.37 TCP domain > 33713 [SYN, ACK] Seq=0 Ack=1 Win=57 
5 0.015307 192.168.1.37 192.168.41.35: TCP 33713 > domain [ACK] Seq=1 Ack=1 Win=5856 Le 
6 0.015954 192.168.1.37  192.168.1.35 TCP [TCP segment of a reassembled PDU] 

7 9.018359 192.158.11.35 192.168.1.37 TCP domain > 33713 [ACK] Seq=1 Ack=3 Win=5792 Le 
8 0.018411 192.168.1.37  192.168.1.35 DNS Standard query IXFR cobbaut.paul 

9 0.018823 2192.168.135. 192:168.1.37 TCP domain > 33713 [ACK] Seq=1 Ack=77 Win=5792 L 
10 0.019784 192.168.1.35  192.168.1.37 DNS Standard query response SOA ns.cobbaut.paul 
11 9.019821 192.168.1.37  192.168.1.35 TCP 33713 > domain [ACK] Seq=77 Ack=295 win=6912 
12 0.020618 192.168.1.37  192.168.1.35 TCP 33713 > domain [FIN, ACK] Seq=77 Ack=295 Win 
13 0.021011 192.168.1.35  192.168.1.37 TCP domain > 33713 (FIN, ACK] Seq=295 Ack=78 Win 


11.9. zone de transfer depline sau incrementale 


Cînd se petrece un transfer de zonă, asta poate fi fie un transfer de zonă 
deplin sau un transfer de zonă incremental. Decizia depinde de mărimea 
transferului de care este nevoie pentru a updata în mod complet zona de pe 
serverul slave. Un transfer de zonă incrementală este preferat cînd suma totală 
a schimbărilor este mai mică decât mărimea zonei bază de date. Transferul 
zonelor depline folosesc protocolul axfr, transferul zonelor incrementale 
folosesc protocolul ixfr. 


11.10. DNS cache 
DNS este un protocol de depozitare. 


Cînd un client interoghează serverul local DNS, şi serverul local DNS nu este 
autoritativ pentru interogare, atunci acest server va căuta un server nume 
autoritativ în arborele DNS. Serverul nume local va interoga mai întîi un server 
root, apoi un server tld şi apoi un server domeniu. Cînd serverul nume local 
rezolvă interogarea, atunci el va transmite această informație clientului care a 
pus interogarea, şi el va păstra de asemeni o copie a acestor interogări în 
memoria lui. Astfel cînd un (alt) client pune aceeaşi interogare acestui server 
nume, atunci el va găsi această informaţie din memoria lui. 


De exemplu, un client interoghează pentru înregistrarea A pe wwm. linux- 
training.be la serverul lui local. Asta este prima interogare primită vreodată 
de către acest server local. Serverul local verifică dacă nu este autoritativ 
pentru domeniul linux-training.be, nici pentru .be tld, şi nu este de asemeni un 
server root. Astfel serverul local va folosi sugerările root pentru a trimite o 
interogare repetată la un server root. 


Serverul root va răspunde cu o referinţă la serverul care este autoritativ 
pentru domeniul .be (serverele root DNS nu rezolvă cereri fqdn şi serverele root 
nu răspund la interogări recursive). 


Serverul local va trimite atunci o interogare repetată la serverul autoritativ 
pentru .be tld. Acest server va răspunde cu o referință la serverul nume care 
este autoritativ pentru domeniul linux-training.be. 


Serverul local va trimite atunci interogarea pentru wm. linux-training.be către 
serverul autoritativ (sau unul dintre serverele lui slave) pentru domeniul 
linux-training.be. Cînd serverul local primeşte adresa ip pentru www. Linux- 
training.be, atunci el va da această informație clientului care a pus această 
interogare. 


85 


în afară de a memora înregistrarea A pentru www. linux-training.be, serverul 
local de asemeni va depozita înregistrările NS şi A pentru serverul de nume 
linux-training.be şi serverul nume .be. 


11.11. exemplu zonă forward lookup 


Modalitatea de a seta zone în /etc/named.conf este să creăm o intrare de zonă cu 
o referință la un alt fişier localizat în /var/named. 


Aici este un exemplu a unei astfel de intrări în /etc/named.conf: 


zone "'classdemo.local" IN £ 
type master; 

file "classdemo. local.zone"; 
allow-update [ none; ); 


); 


Pentru a crea fişierul zonă, metoda uşoară este să copiem un fişier de zonă 
existentă (asta e mai uşor decît să o scriem de la aproape zero). 


[rootQRHEL4b named]t cd /var/named/ 

[rooteRHEL4b named] pwd 

/var /named 

[rooteRHEL4b named]t cp localhost.zone classdemo. local.zone 
[rootQRHEL4b named]t 


Aici este un exemplu a unui fişier zonă. 


[rootQRHEL4b named] cat classdemo. local.zone 


ȘTTL 86400 

ȘORIGIN classdemo. local. 

Q IN SOA rhel4b.classdemo.local. admin.classdemo.local. ( 
2007083100 ; serial 
3H ; refresh 
900 ; retry 
1W ; expiry 
1D ) ; minimum 

IN NS rhel4b.classdemo. local. 
IN MX 10 mai L.classdemo. local. 
IN A 192.168.1.191 

rhel4b IN A 192.168.1.191 

mail IN A 192.168.1.191 

WWW IN A 192.168.1.191 

ftp IN A 192.168.1.191 

server2 IN A 192.168.1.1 
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11.12. practică: server DNS caching only 


la. Instalaţți software DNS pe Debian/Ubuntu. 


rooteubulOlOsrv:-+ dpkg -1l | grep bind9 
ii bind9-host 1:9.7.1.dfsg.P2-2ubuntu0.2 Version of 'host! buni 
dled with BIND 9.X 
ii libbind9-60 1:9.7.1.dfsg.P2-2ubuntu0.2  BIND9 Shared Library 
used by BIND 
rooteubulOlOsrv:-4 aptitude install bind9 
The following NEW packages will be installed: 

bind9 bindSutils(a) 
O packages upgraded, 2 newly installed, 0 to remove and 0 not upgraded. 
Need to get 433kB of archives. After unpacking 1,352kB will be used. 
Do you want to continue? [Y/n/?] 


ieşire truncată 


x Starting domain name service... bind9 [ OK ] 


rooteubulOlOsrv:-+ dpkg -1l | grep bind9 

ii bind9 1:9.7.1.dfsg.P2-2ubuntu0.2 Internet Domain Name Server 
ii bindS-host 1:9.7.1.dfsg.P2-2ubuntu0.2 Version of 'host! bundled wi 
ith BIND 9.X 
ii bindSutils 
ii Libbind9-60 
y BIND 
rootâubu1l010srv:-4% 


„dfsg.P2-2ubuntu0.2 Utilities for BIND 
„dfsg.P2-2ubuntu0.2 BIND9 Shared Library used bi 


1b. Instalaţii software DNS pe RHEL/Fedora. 


[rootefedoral4 -]t rpm -qa | grep bind 
samba-winbind-clients-3.5.8-74.fc14.1686 
bind-utils-9.7.3-1.fc14.1686 
Packagekit-device-rebind-0.6.12-2.fc14.1686 
bind-libs-9.7.3-1.fc14.1686 

[rootefedoral4 -]4 yum install bind 

Loaded plugins: langpacks, presto, refresh-packagekit 
Adding en_US to language list 

Setting up Install Process 

Resolving Dependencies 

--> Running transaction check 

---> Package bind.1686 32:9.7.3-1.fc1l4 set to be installed 
--> Finished Dependency Resolution 


ieşire truncată 
Running Transaction 
Installing : 32:b'ind-9.7.3-1.fc14.1686 


Installed: 
bind.1686 32:9.7.3-1.fc1l4 


Complete! 
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[rootQfedora14 -]+ rpm -qa | grep bind 
samba-winbind-clients-3.5.8-74.fc14.1686 
bind-utils-9.7.3-1.fc14.1686 

Packagekit -device-rebind-0.6.12-2.fc14.1686 
bind- libs-9.7.3-1.fc14.1686 
bind-9.7.3-1.fc14.1686 

[rootQfedora14 -]+ 


2. Descoperiţi fişierele de configurare default. Puteţi defini scopul fiecărui 
fişier? 


2a. Pe Fedora: 


[rootefedoral4 =] 1s -ld /etc/namedx 


drwxr-x---. 2 root named 4096 Feb 18 16:07 /etc/named 

-rw=r===== „ 1 root named 1008 Jul 19 2010 /etc/named.conf 
-rw-r--r--. 1 root named 2544 Feb 18 16:07 /etc/named.iscdlv.key 
-rw=r===== „ 1 root named 931 Jun 21 2007 /etc/named.rfc1912.zones 


-rw-r--r--. 1 root named 487 Jul 19 2010 /etc/named.root.key 
[rootefedorala4 -]t Is -l /var/named/ 


total 28 

drwxrwx---. 2 named named 4096 Feb 18 16:07 data 
drwxrwx---. 2 named named 4096 Feb 18 16:07 dynamic 
-rw=r===== „+ 1 root named 1892 Feb 18 2008 named.ca 

-rw- rr „ 1 root named 152 Dec 15 2009 named.empty 
—rw=r===== „ 1 root named 152 Jun 21 2007 named. localhost 
-rw=pr====— „ 1 root named 168 Dec 15 2009 named. loopback 
drwxrwx---. 2 named named 4096 Feb 18 16:07 slaves 


2. Pe Ubuntu: 


rootâubulOlOsrv:=t Is -l /etc/bind 
total 52 

-rw-r--r-- 
-rw-r--r-- 
-rw-r--r-- 


1 root root 601 2011-02-23 16:22 bind.keys 

1 root root 237 2011-02-23 16:22 db.0 

1 root root 271 2011-02-23 16:22 db.127 

-rw-r--r-- 1 root root 237 2011-02-23 16:22 db.255 

-rw-r--r-- 1 root root 353 2011-02-23 16:22 db.empty 
-rw-r--r-- 1 root root 270 2011-02-23 16:22 db.local 
-rw-r--r-- 1 root root 2994 2011-02-23 16:22 db.root 

-rw-r--r-- 1 root bind 463 2011-02-23 16:22 named.conf 
-rw-r--r-- 1 root bind 490 2011-02-23 16:22 named.conf.default-zones 
-rw-r--r-- 1 root bind 165 2011-02-23 16:22 named.conf.local 
-rw-r--r-- 1 root bind 572 2011-02-23 16:22 named.conf.options 
—rw=r===== 1 bind bind 77 2011-05-15 17:52 rndc.key 
-rw-r--r-- 1 root root 1317 2011-02-23 16:22 zones.rfc1918 


3. Setați un server dns caching only. Acesta este în mod normal setarea default. 
Un server nume caching only va căuta numele pentru noi şi la va depozita. Cele 
mai multe tutoriale vă vor spune să adăugați un forwarder, aşa că mai întîi vom 
încerca fără asta! 
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rootQubul010srv:/var/logt nslookup 
> server 192.168.1.37 

Default server: 192.168.1.37 
Address: 192.168.1.37453 

> 

> slashdot.org 

Server:  192.168.1.37 

Address: 192.168.1.37453 


Non-authoritative answer: 
Name: slashdot.org 
Address: 216.34.181.45 


Hei asta se pare că funcționează fără un forwarder. Folosind un interceptor 
putem afla ce se petrece într-adevăr (de vreme ce serverul nu utilizează o 
memorie tampon, nu utilizează serverul dns (din /etc/resolv.conf)). Astfel de 
unde vine acest trafic şi ce puteţi învăța din interceptarea acestui trafic dns? 


4. Explicaţi în detaliu ce se întîmplă cînd autorizăm un server dns caching only 
fără forwarder. Acestă captură de ecran wireshark poate fi de ajutor, dar 
învățați mai mult interceptînd traficul voi înşivă! Voi alege doi voluntari 


pentru a explica acestea în fața clasei. 
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11.13. practică: caching only cu forwarder 


5. Adăugați un server dns local ca expeditor (forwarder) (acasă la mine este 
192.168.1.1, probabil este o adresă ip diferită în sala de curs!). 


rootQubulOlOsrv:=t grep -A2 forwarder /etc/bind/named.conf.options| tail -3 
forwarders 


192.168.1.1; 

); 

rootâubul010srv:-4 /etc/init.d/bind9 restart 

x Stopping domain name service... bind9 [ OK |] 
x Starting domain name service... bind9 [ OK |] 


rootâubulO10srv:-t 


6. Explicaţi scopul adăugării forwarder-ului. Ce face serverul nostru DNS cînd 
primeşte o interogare? Din nou captura de ecran wireshark poate fi de folos, ar 
trebui să vedeți ceva similar. 


rootâubulO10srv:=t nslookup 
> server 

Default server: 192.168.1.4 
Address: 192.168.1.4453 

> server 192.168.1.37 
Default server: 192.168.1.37 
Address: 192.168.1.37453 

> 

> cobbaut.be 

Server:  192.168.1.37 
Address: 192.168.1.37453 


Non-authoritative answer: 
Name: cobbaut.be 
Address: 88.151.243.8 


eră Ie Jesoresten..] deac |rooby 


„No... Time Source Destination Protocol Info 
278 13.741725 192.168.1.37  192.168.1.1 DNS Standard query A cobbaut.be 


» Frame 278 (81 bytes on wire, 81 bytes captured) 
) Ethernet II, Src: 8c:7b:9d:d6:df:f2 (8c:7b:9d:d6:df:f2), Dst: ZygateCo aa:68:f0 (00:02:cf:aa:68 
» Internet Protocol, Src: 192.168.1.37 (192.168.1.37), Dst: 192.168.1.1 (192.168.1.1) 
) User Datagram Protocol, Src Port: 44677 (44677), Dst Port: domain (53) 
“ Domain Name System (query) 
Transaction ID: 0xf488 
) Flags: 0x0100 (Standard query) 
Questions: 1 
Answer RRs: 0 
Authority RRs: 0 
Additional RRs: 1 
x Queries 
) cobbaut.be: type A, class IN 
) Additional records 


7. Ce se întîmplă cînd interogaţi acelaşi nume de domeniu mai mult decît o 
singură dată? 
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8. De ce se spune "non-authoritative answer"? Cînd este un server dns 
autoritativ? 


9. Puteți de asemeni să folosiți dig în loc de nslookup. 
dig Q192.168.1.37 linux-training.be 
10. Cum putem evita să nu setăm serverul în dig sau nslookup? 


rootQâubulOlosrv:-t cat /etc/resolv.conf 
nameserver 127.0.0.1 


11. Cînd folosiți dig pentru prima dată pentru un domeniu, de unde vine 
răspunsul? Şi a doua oară? Ce credeți? 
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11.14. practică: server autoritativ primar 


1, În loc să depozităm informația de la alte servere, vom face acum serverul 
nostru autoritativ pentru domeniul nostru. 


2. Alegem noul TLD.paul şi domeniul cobbaut.paul şi punem informația în 
/etc/bind/named. conf. local. 


rootâubul010srv:/etc/bindt grep -C1 cobbaut named.conf.local 


zone "'cobbaut.paul" £ 

type master; 

file "/etc/bind/db.cobbaut.paul"; 
); 


3. Adăugați de asemeni un fişier zonă de bază de date, similar cu acesta 
(adăugați nişte înregistrări A pentru testare). Setați valorile Refresh şi Retry 
nu prea mari pentru ca să puteți intercepta acest trafic (acest exemplu face un 
server slave să contacteze serverul master la fiecare 300 de secunde). 


rootâubul010srv:/etc/bindt cat db.cobbaut.paul 


p] 


; BIND data file for domain cobbaut.paul 


> 
ȘTTL 604800 
Q IN SOA ns.cobbaut.paul. root.cobbaut.paul. ( 


20110516 ; Serial 
300 ; Refresh 
200 ; Retry 
2419200 ; Expire 
604800 ) ; Negative Cache TTL 
> 
Q IN NS ns.cobbaut.paul. 
ns IN A 192.168.1.37 
ubulO10srv IN A 192.168.1.37 
anya IN A 192.168.1.1 
mac IN A 192.168.1.30 


rootQâubulO10srv: /etc/bindt 


4. Restartaţți serverul DNS şi verificați zona în jurnalul erorilor. 
rootâubul010srv: /etc/bindt grep cobbaut /var/log/daemon. log 

May 16 00:33:49 ubulOlOsrv named[25449]: zone cobbaut.paul/IN: loaded) 
serial 20110516 


5. Folosiţi dig sau nslookup (sau chiar ping) pentru a testa înregistrările A. 
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rootâubul010srv:/etc/bindt ping mac.cobbaut.paul 

PING mac.cobbaut.paul (192.168.1.30) 56(84) bytes of data. 

64 bytes from 192.168.1.30: icmp_req=1l ttl=64 t'ime=2.28 ms 

64 bytes from 192.168.1.30: icmp_req=1l ttl=64 time=2.31 ms (DUP!) 

AC 

--- mac,cobbaut.paul ping statistics --- 

1 packets transmitted, 1 received, +1 duplicates, 0% packet loss, time Oms 
rtt min/avg/max/mdev = 2.282/2.296/2.310/0.014 ms 
rootâubul010srv:/etc/bindt dig anya.cobbaut.paul 


, <> DiG 9.7.1-P2 <<>> anya.cobbaut.paul 

;; global options: +cmd 

;; Got answer: 

;; —>>HEADER<<- opcode: QUERY, status: NOERROR, id: 38237 

;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 1 


;3 QUESTION SECTION: 
;sanya.cobbaut.paul. IN A 


;; ANSWER SECTION: 
anya.cobbaut.paul. 604800 IN A 192.168.1.1 


;; AUTHORITY SECTION: 
cobbaut.paul. 604800 IN NS ns.cobbaut.paul. 


;; ADDITIONAL SECTION: 
ns.cobbaut.paul. 604800 IN A 192.168.1.37 


;; Query time: 1 msec 
;; SERVER: 127.0.0.1453(127.0.0.1) 
;; WHEN: Mon May 16 00:38:22 2011 
;; MSG SIZE rcvd: 84 


rootQubulO10srv: /etc/bindt 

6. Serverul nostru primar funcționează. Observații informația aici: 
server os : Ubuntu 10.10 

ip : 192.168.1.37 


domain name: cobbaut.paul 
server name: ns.cobbaut.paul 
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11.15. practică: DNS în revers 


1. Putem adăuga ip la rezoluția numelui la serverul nostru dns folosind o zonă 
dns în revers. 


2. Începeți prin a adăuga o zonă .arpa la /etc/bind/named.conf.local astfel (am 
setat notificarea la no pentru a evita trimiterea mesajelor de înştiinţare la 
alte servere nume): 


rootâubul010srv:/etc/bindt grep -A4 arpa named.conf.local 
zone 11.168.192.in-addr.arpa" î 

type master; 

notify no; 

file "/etc/bind/db.192"; 

); 


3. De asemeni creaţi un fişier de zonă bază de date pentru această zonă 
deferentă în revers. 


rootâubul010srv:/etc/bindt cat db.192 


pi] 


; BIND reverse data file for 192.168.1.0/24 network 


> 
ȘTTL 604800 
Q IN SOA ns.cobbaut.paul root.cobbaut.paul. ( 
20110516 ; Serial 
604800 ; Refresh 
86400 ; Retry 
2419200 ; Expire 
604800 ) ; Negative Cache TTL 


> 

Q IN NS ns. 

37 IN PTR ns.cobbaut.paul. 
1 IN PTR anya.cobbaut.paul. 
30 IN PTR mac.cobbaut.paul. 
rootQubulO10srv: /etc/bindt 


4. Testaţi cu nslookup sau dig: 


rootQubul010srv:/etc/bindt dig 1.168.192.in-addr.arpa AXFR 
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11.16. practică: un server DNS slave 


1. Un server slave transferă zona informației în reţea de la un server master 
(un slave poate fi de asemeni un master). Un server primar menţine zonele 
înregistrări în sistemul de fişiere local. Ca un exercițiu, şi pentru a verifica 
lucrările tuturor studenților, setați un server slave al tuturor serverelor 
master în sala de curs. 


2. Înainte de a configura serverul slave, trebuie să permitem transferuri din 
zona noastră la acest server. Țineţți minte că acest lucru nu este foarte 
securizat pentru că transferurile sînt în text clar şi limitate la o adresă ip. 
Acest exemplu urmează demonstrația noastră de mai sus. Ip-ul serverului slave 
este 192.168.1.31, al vostru este probabil altul. 


rooteubulO10srv:/etc/bindt grep -A2 cobbaut named.conf.local 
zone "'cobbaut.paul" £ 

type master; 

file "/etc/bind/db.cobbaut.paul"; 

allow-transfer ( 192.168.1.31; |; 

J; 

rootâubu1010srv: /etc/bindt 


3. Serverul slave rulează Fedora 14. Fişierele de configurație bind sînt un pic 
diferite. Mai jos este adăugarea unei zone slave la acest server, observați 
adresa ip (192.168.1.37) a serverului meu dns master pentru zona cobbaut.paul. 


[rootefedoral4 etc]t grep cobbaut -A2 named.conf 
zone "'cobbaut.paul" £ 

type slave; 

file "/var/named/slaves/db.cobbaut.paul"; 
masters î 192.168.1.37; ); 

); 

[rootefedoral4 etc] 


4. Aţi putea avea nevoie să adăugaţi adresa ip a serverului pe Fedora pentru a 
permite alte interogări decît de la localhost. 


[rootefedoral4 etc]t grep 127 named.conf 
listen-on port 53 ( 127.0.0.1; 192.168.1.31; ); 


5. Restartarea bind pe serverul slave ar trebui să transfere fişierul zonă bază 
de date: 


[rootefedoral4 etc]t Is -l /var/named/slaves/ 

total 4 

-rw-r--r--. 1 named named 387 May 16 03:23 db.cobbaut.paul 
[Lrootefedoral4 etc]t 
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Capitolul 12. DNS avansat 


Conţinut 

12.1. DNS round robin. 

12.2. delegare DNS. 

12.3. echilibrare solicitări DNS. 

12.4. notificare DNS. . . 

12.5. testare IXFR şi AXFR. 

12.6. interogare DDNS cu DHCP. 

12.7. revers este forward in-adar. arpa. 
12.8. ipvâ. i : 

12.9.  split- horizon ans. 


12.10. securitate DNS: fişier corupt. 


12.11. securitate DNS: transferuri zone. 


12.12. securitate DNS: transferuri zone, 


12.13. securitate DNS: interogări. . 
12.14. securitate DNS: chrooted bind. 
12.15. securitate DNS: DNSSEC. 

12.16. securitate DNS: root. 
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falsificare ip. 


12.1. DNS round robin 


Cînd creați înregistrări multiple A pentru acelaşi nume, atunci bind va face un 
round robin în ordinea în care aceste înregistrări sînt returnate. Aceasta 
permite utilizarea DNS să echilibreze solicitările între nume de maşini, de 
vreme ce clienții de obicei vor lua prima adresă ip oferită. 


Astfel arată în fişierul configuraţie zonă. 


faith IN A 192.168.1.20 
faith IN A 192.168.1.22 


Mai jos este un screenshot a nslookup interogînd o înregistrare A load balanced. 
Observații ordinea adreselor ip returnate. 


> server 192.168.1.35 
Default server: 192.168.1.35 
Address: 192.168.1.35453 

> faith.cobbaut.paul 

Server: 192.168.1.35 
Address: 192.168.1.35453 


Name: faith.cobbaut.paul 
Address: 192.168.1.20 
Name: faith.cobbaut.paul 
Address: 192.168.1.22 
> faith.cobbaut.paul 
Server: 192.168.1.35 
Address: 192.168.1.35453 


Name: faith.cobbaut.paul 
Address: 192.168.1.22 
Name: faith.cobbaut.paul 
Address: 192.168.1.20 
> faith.cobbaut.paul 
Server: 192.168.1.35 
Address: 192.168.1.35453 


Name: faith.cobbaut.paul 
Address: 192.168.1.20 
Name: faith.cobbaut.paul 
Address: 192.168.1.22 


12.2. delegare DNS 


Puteți delega un domeniu child la alt server DNS. Domeniul child devine atunci o 
nouă zonă, cu autoritate la noul server dns. 
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"linux-training.be” 
has authority over 
u 


= =DNS child zone delegation 


„5 "test.linux-training.be” 
2| has authority over 
| E u 


Aici este o captură de ecran a fişierului zonei bază de date cu delegare. 


rooteubul010srv:/etc/bindt cat db.linux-training.be 
ȘTTL 3d ; default ttl set to three days 

ȘORIGIN Linux-training.be. 

Q IN SOA nsIl.linux-training.be. paul.linux-training.be. ( 
20110524 

300 

300 

10000 

20000 

) 

IN NS ns1.linux-training.be. 

IN NS ns2.linux-training.be. 

IN NS ns3.linux-training.be. 

IN MX 10 smtp.openminds.be. 

nsl IN A 192.168.1.35 


ns2 IN A 192.168.1.36 
ns3 IN A 192.168.1.37 
www IN A 192.168.1.35 
mac IN A 192.168.1.30 


ȘORIGIN office. linux-training.be. 

Q IN NS ns4.office.linux-training.be. 

; or replace those two Lines with: 

; office.linux-training.com IN NS ns4.office.linux-training.be 


IN NS nsl1.linux-training.be. ; in case this is a slave 


ns4 IN A 192.168.1.33 ; the glue record 
; ns4.office.linux-training.be A 192.168.1.33 ; also ok! 
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12.3. echilibrare solicitări DNS 


Nu e ca mai sus. Cînd aveți mai mult decît un singur server DNS autoritativ 
pentru o zonă, puteţi împrăştia interogări în toate serverele. 0 modalitate de a 
face asta este de a crea înregistrări NS pentru toate serverele care participă 
la echilibrarea solicitărilor interogărilor externe. 


Ați putea de asemeni să configurații servere de nume diferite pe clienți interni. 
12.4. notificare DNS 


Proiectarea originală a DNS în rfc 1034 şi rfc 1035 a implementat un timp de 
refresh în înregistrarea SOA pentru a configura un timp loop pentru serverele 
slave de a interoga serverele lor master. Asta poate avea ca rezultat o mulțime 
de cereri scoase inutil, sau într-un spațiu de timp semnificativ între update- 
uri. 


Din acest motiv a fost proiectată notificarea dns (rfc 1996). Serverul va 
înştiința acum slave-urile oricând există un update. Acest serviciu este activat 
prin default în bind. 


Notificarea poate fi dezabilitată ca în această captură de ecran. 


zone 11.168.192.in-addr.arpa" î 
type master; 

notify no; 

file "/etc/bind/db.192"; 

); 


12.5. testare IXFR şi AXFR 


Transferurile depline ale zonelor (AXFR) sînt iniţiate cînd restartați serverul 
bind, sau cînd updatați manual fişierul zonei baze de date în mod direct. Cu 
nsupdate puteți updata o zonă bază de date şi să inițiați un transfer de zonă 
incremental. 


Aveţi nevoie de DDNS permis pentru ca nsupdate să funcționeze. 


rooteubul010srv: /etc/bindt nsupdate 

> server 127.0.0.1 

> update add mac14.linux-training.be 86400 A 192.168.1.23 
> send 

update failed: REFUSED 


12.6. interogare DDNS cu DHCP 


Unor organizații le place să aibă toate computerele client în DNS. Asta poate fi 
incomod de întreținut. Din fericire rfc 2136 descrie interogarea serverelor DHCP 
cu un server DNS. Oricând DHCP recunoaşte configurația unui client ip, el poate 
informa DNS cu aceşti clienți adresa ip şi numele. Acesta este denumit dynamic 
updates sau DDNS. 


12.7. reverse este forward in-addr.arpa 


Deferent în revers este în realitate implementat ca un deferent înainte în 
domeniul in-addr.arpa. Acest domeniu are 256 de domenii child (de la 0.in- 
addr.arpa la 255.in-addr.arpa), cu fiecare domeniu child avînd din nou 256 de 
domenii child. Şi asta de două ori mai mult lao structură a peste patru 
miliarde (2 la puterea 32) de domenii. 
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12.8. ipv6 


Cu rfc 3596 au venit extensiile ipv6 pentru DNS. Acolo există înregistrarea AAA 
pentru nume de maşini ipv6 pe rețea, şi există domeniul ip6.int pentru deferenţe 
revers avînd 16 domenii child de la 0.ip6.int la f.ip6.int, fiecare dintre ele 
avînd din nou 16 domenii child... şi asta de 16 ori. 


12.9. split-horizon dns 


Puteți folosi view clause în bind pentru a da rezultate diferite la clienți 
diferiţi. 


view "antwerp" 4 

match-clients ( 172.16.42/24; |; // the network in Antwerp 

zone "'cobbaut.paul" 
type master; 
file "/etc/bind/db.cobbaut.paul.antwerp"; // wwmw=172.16.42.9 
); 


); 


view "brussels" 

match-clients î 172.16.33/24; ); // the Brussels network 

zone "'cobbaut.paul" £ 
type master; 
file "/etc/bind/db.cobbaut.paul.brussels"; // www=172.16.33.4 
); 


); 

12.10. securitate DNS: fişier corupt 

Pentru a diminua coruperea de fişiere pe fişierele zonă şi fişierele bind 
configuration protejați-le cu permisiuni Unix şi faceți backup-uri în mod 
regulat. 


12.11. securitate DNS: zone de transfer 


Limitaţi zonele de transfer la anumite adrese ip în loc de any. Nu are 
importanță dacă anumite adrese ip pot fi falsificate, folosiți încă asta. 


12.12. securitate DNS: zone de transfer, falsificare ip 

Ați putea seta DNSSEC (care nu este uşor de întreținut) şi cu rfc 2845 (tsig?) 
şi cu rfc 2930 (tkey, dar asta este deschis la forţă brută), sau ați putea 
dezactiva toate zonele de transfer şi folosi un script cu ssh pentru a le copia 
manual. 


12.13. securitate DNS: interogări 


Permiteţi recurs doar din rețeaua locală, şi interogări repetate din exterior 
doar cînd este necesar. Asta poate fi configurat pe serverele master şi slave. 
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view "internal" 

match-clients ( 192.168.42/24; |; 
recursion yes; 

); 

view "external" 


match-clients î( any; |; 
recursion no; 


); 

Sau permiteţi interogări doar din reţeaua locală. 
options 

allow-query î 192.168.42.0/24; localhost; |; 

); 


zone "'cobbaut.paul" £ 
allow-query î any; ]; 


); 
Sau permiteți doar interogări recursive de la clienți interni. 


options 
allow-recursion î 192.168.42.0/24; localhost; |; 


A 
12.14. securitate DNS: chrooted bind 


Cele mai multe distribuții Linux permit o setare uşoară a bind într-un mediu de 
lucru chrooted. 


12.15. securitate DNS: DNSSEC 


DNSSEC foloseşte chei publice/private pentru a securiza comunicațiile, asta este 
descris în rfc-urile 4033, 4034 şi 4035. 


12.16. securitate DNS: root 


Nu executați bind ca root. Nu rulați nici un daemon aplicație ca root. 
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Partea III. server dhcp 


102 


Capitolul 13. introducere în dhcp 


Conţinut 

131. patru. broadcast, sp a ta ee ta a Rt ae o e tat a mai cat cal at 7 a a al OA 
13.2. descriere dhcp. . . . PRE N o e e e urc! 
13.3. instalarea unui server “dhep. ERE E N EN Rio) 
13.4. server dhcp pe Red Hat. . . . . . ca 106 
13:5e. Opțiuni AhCpe n ie ee o ee e e e a E e ca ae pe ee a aa pa e tate a ALE6 
13.6. rezervări client. . . Zi. UER cae aie aAt0r alim dex cae ear cai oii a ti cea e LO 
13.7. exemplu de fişiere configurare. E O ic, 
13.8. exemplu de fişiere site Ala mai “vechi. 2 ie 0 ada A atei Mr aa aa A oa Sa Sa ante NELLO27 
13.9. dhcp avansat. . . Sia Die ae 000 o Sonata e deea Iapa dit a ai n ela piei ga) ti” 43 x si a 209 
13.10. practică: DHCP şi DDNS. tai ie dea ee 3 ni ad cea Dale re. at aa ne Su tale aa ra det 4 dee, al IO) 


Dynamic Host Configuration Protocol (sau pe scurt dhcp) (protocol de configurare 
dinamică a maşinii gazdă) este un protocol standard tcp/ip care distribuie 
configurații ip către clienți. dhep este definit în rfc 2131 (înainte de asta a 
fost definit ca o actualizare la bootp în rfc 1531/1541). 


Alternativa la dhcp este de a introduce manual configurația ip pe fiecare 
computer. 
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13.1. patru broadcast 


dhcp funcționează cu broadcast-uri layer 2. Un client dhcp care porneşte, va 
trimite o descoperire dhcp pe rețea. Toate serverele dhcp (care au o închiriere 
disponibilă) vor răspunde cu o ofertă dhcp. Clientul va alege una dintre aceste 
oferte şi va trimite o cerere dhcp conținînd oferta aleasă. Serverul dhcp de 
obicei răspunde cu un dhcp ack (knowledge) (recunoaştere dhcp). 


în wireshark arată astfel. 


File Edit View Go Capture Analyze Statistics Telephony Tools Help 
3 - "ei a ae ee Ea aaa » 


_] x expression... ] Clear | Apply | 


Source Destination Protocol Info ci 


40387 1687.653918 192.168.1.200 255.255.255.255 DHCP DHCP ACK - Transac 


—CEICNE Ir UUUTCII V-V-U-V TU-V-V-U i — 
Your (client) IP address: 192.168.1.158 (192.168.1.158) 
Next server IP address: 0.0.0.0 (0.0.0.0) 

Relay agent IP address: 0.0.0.0 (0.0.0.0) 

Client MAC address: CadmusCo 5e:38:76 (08:00:27:5e:38:76) 
Client hardware address padding: 00000000000000000000 
Server host name not given 

Boot file name not given 

Magic cookie: (0K) 

b Option: (t=53,1=1) DHCP Message Type = DHCP ACK 

b option: (t=54,1=4) DHCP Server Identifier = 192.168.1.200 

b Option: (t=51,l=4) IP Address Lease Time = 6 hours 

b Option: (t=81,1=24) Client Fully Qualified Domain Name 

b Option: (t=1,1=4) Subnet Mask = 255.255.255.0 

b option: (t=15,1=15) Domain Name = "classdemo.local" 

lă : (t=3,1=4) Router = 192.168.1.1 

b 


Option: (t=6,1=4) Domain Name Server = 192.168.1.1 


End Option 
0120 a8 OI că 33 04 00 09 54 609 51 18 03 02 02 77 32  ...3...1 Q....w2 Tla 
0130 30 30 33 2e 63 6c 61 73 73 64 65 6d 6f 2e 6c 6f  003.clas sdemo.lo 
0140 63 61 6c 01 04 ff ff ff 00 ef 0f 63 6c 617373 cal..... ... class 
9150 64 65 6d 6f 2e 6c 6f 63 616c demo. loc a 
e160 0604 c0oa8 ua ff OC eee. [] 


Q Text item (), 6 bytes Packets: 42437 Displayed: 93 Marked: 0 Profile: Default 
Cînd această procedură se termină, atunci clientului îi este permis să 
folosească acea configurație ip pînă la terminarea timpului închirierii. 
13.2. descrierea dhcp 
Aici avem o mică rețea cu două servere dhcp denumite DHCP-SRVI şi DHCP-SRV2 şi 
doi clienți (SunwS1 şi Mac42). Toate computerele sînt conectate de un hub sau 


swich (desenat în mijloc). Toate cele patru computere au un cablu la hub 
(cablurile nu sînt desenate). 
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DHCP-SRVI 
192.168.1.200 
scope 192.168.1.20-199 


SUNWSI 
192.168.1.20 


DHCP-SRV2 
192.168.1.201 
scope 192.168.1.220-249 


Mac42 
192.168.1.21 


1. Clientul SunwWS1 trimite o descoperire dhcp pe rețea. Toate computerele 
primesc aceast broadcast. 

2. Ambele servere dhcp răspund cu o ofertă dhcp. DHCP-SRV1 este un server dhcp 
dedicat şi e mai rapid în trimiterea unei oferte dhcp decît DHCP-SRV2 (care se 
întîmplă să fie de asemeni un server fişier). 

3. Clientul alege oferta de la DHCP-SRVI şi trimite o cerere dhcp pe reţea. 

4. DHCP-SRVI răspunde cu un dhcp ack (acronim pentru acknowledge - recunoaştere) 
Toate cele patru (sau cinci dacă numărăm ambele oferte) pot fi broadcast layer 2 
ethernet la adresa mac ff:ff:ff:ff:ff:ff şi un layer 3 broadcast ip la 
255.255.255.255. 

Acelaşi lucru poate fi citit în rfc 2131. 

13.3. instalarea unui server dhcp 


Pe Debian/Ubuntu 
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debian5:-4 aptitude install dhcp3-server 


Reading package lists... Done 
Building dependency tree 

Reading state information... Done 
Reading extended state information 
Initializing package states... Done 
Reading task descriptions... Done 


The following NEW packages will be installed: 
dhecp3-server 


Obțineţi un fişier de configurare cu multe exemple. 


debian5:-% Is -l /etc/dhcp3/dhepd.conf 
-rw-r--r-- 1 root root 3551 2011-04-10 21:23 /etc/dhecp3/dhcpd.conf 


13.4. server dhcp pe Red Hat 


După instalare obținem un /etc/dhcpd.conf care ne trimite la un fişier exemplu 
numit dhcpd.conf.sample. 


[rootelocalhost =-]t cat /etc/dhepd.conf 

: 

 DHCP Server Configuration file. 

i see /usr/share/doc/dhecpx /dhecpd.conf.sample 


Astfel copiem exemplul şi îl ajustăm pentru situația noastră reală. Denumim 
copia /etc/dhcp.conf. 


subnet 192.168.1.0 netmask 255.255.255.0 
range 192.168.1.140 192.168.1.159 


option routers 192.168.1.1; 
option subnet-mask 255.255.255.0; 
option domain-name "classdemo.local"; 
option domain-name-servers 192.168.1.1; 
default-lease-time 21600; 

) 


13.5. opţiuni dhcp 
Opțiunile pot fi setate pe nivelele global, scope, rezervare-client. 


option subnet-mask 255.255.255.0,; 

option domain-name "linux-training.be"; 

option domain-name-servers "nsl.openminds.be"; 
option routers 192.168.42.1; 


13.6. rezervări client 


Puteţi rezerva o configurare ip pentru un client folosind adresa mac. 


host pc42 £ 

hardware ethernet 11:22:33:44:55:66; 
fixed-address 192.168.42.42; 

) 


Puteți adăuga opțiuni individuale la această rezervare. 
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host pc42 £ 

hardware ethernet 11:22:33:44:55:66; 
fixed-address 192.168.42.42; 

option domain-name "linux-training.be"; 
option routers 192.168.42.1; 

) 


13.7. exemplu de fişiere configurare 


Mai jos vedeți cîteva secțiuni din /etc/dhcp/dhep.conf pe un server Debian 6. 


+ NetSec Antwerp Network 
subnet 192.168.1.0 netmask 255.255.255.0 
range 192.168.1.20 192.168.1.199; 

option domain-name-servers nsl.netsec.local; 
option domain-name "netsec.local"; 

option routers 192.168.1.1; 

option broadcast-address 192.168.1.255,; 
default-lease-time 7200; 

max-lease-time 7200; 


) 


Mai sus este configurarea generală pentru reţea, cu o rezervă de 180 de adrese. 
Mai jos sînt rezervările a doi clienţi: 


iii 
+ laptops 
ii 


host mac 1 
hardware ethernet 00:26:bb:xx:xx:xxX; 
fixed-address mac.netsec. local; 


i, 


host vmac £ 
hardware ethernet 8c:7b:9d:xx:xx:xx; 
fixed-address vmac.netsec.local; 


i, 
13.8. exemplu de fişiere configurare mai vechi 


Pentru dhcp.conf pe Fedora cu actualizări dinamice pentru un domeniu DNS. 
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[rootefedoral4 -]+ cat /etc/dhecp/dhepd.conf 
authoritative; 
include "/etc/rndc.key"; 


log-facility local6; 
server-identifier fedora14; 


ddns-domainname "office. linux-training.be"; 
ddns-update-style interim; 

ddns-updates on; 

update-static-leases on; 


option domain-name "office.linux-training.be"; 
option domain-name-servers 192.168.42.100,; 
option ip-forwarding off; 


default-lease-time 1800; 
max-lease-time 3600; 


zone office.linux-training.be î 
primary 192.168.42.100; 
) 


subnet 192.168.4.0 netmask 255.255.255.0 £ 
range  192.168.4.24 192.168.4.40; 
) 


Permiterea oricărei actualizări în zona bază de date (parte a configurării 
named.conf). 


zone "'office.linux-training.be" 

type master; 

file "/var/named/db.office.linux-training.be"; 
allow-transfer î any; |; 

allow-update î[ any; |; 

); 


Permiterea cheilor sigure de actualizări în zona bază de date (parte a confi- 
gurării named.conf). 


zone "'office.linux-training.be" î 

type master; 

file "/var/named/db.office.linux-training.be"; 
allow-transfer ( any; |; 

allow-update [ key mykey; |; 

); 


Exemplu de conținut a fişierului cheie. 


[rootefedoral4 -]+ cat /etc/rndc.key 
key "rndc-key" 

algorithm hmac-md5; 

secret "4Ykd58uleur3Vve6adiqgTfQ=="; 
); 
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Generați propriile chei cu dnssec-keygen. 
Cum să includem o cheie într-un fişier de configurare: 
include "/etc/bind/rndc.key"; 


De asemeni fiți siguri că bind poate scrie în fişierul db.zone (folosind 
chmod/chown). În Ubuntu asta poate fi în /etc/bind, în Fedora /var/named. 


13.9. dhcp avansat 
regula 80/20 


Serverele DHCP nu ar trebui să aibă nici un punct de eşec. Să discutăm setările 
serverelor dhcp redundante (de făcut mai tîrziu). 


agent retransmisie 


Pentru a evita să punem un server dhcp pe fiecare segment, putem folosi agenți 
retransmisie dhcp. 


servere dhcp potlogare 

Serverele dhcp potlogare sînt o problemă fără o soluție. De exemplu o conexiune 
accidentală a unui (crezut a fi simplu) hub/switch la o reţea cu un server dhcp 
intern. 


dhcp şi ddns 


DHCP poate în mod dinamic să actualizeze DNS cînd el configurează un computer 
client. DDNS poate fi folosit cu sau fără chei sigure. 


Cînd sunt setate în mod corespunzător înregistrările pot fi adăugate automat în 
fişierul zonă: 


rootefedoral4-t tail -2 /var/named/db.office.linux-training.be 


ubulO10srv A 192.168.42.151 
TXT  "00dfbb1l5e144a273c3cf2d6ae933885782" 
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13.10. practică: DHCP şi DDNS 


1. Asiguraţi-vă că aveţi o adresă ip fixă unică pentru serverele DNS şi DHCP (e 
mai uşor pe aceeaşi maşină). 


2. Instalaţi DHCP şi navigați în explicarea fişierului de configurare default 
/etc/dhcp/dhecpd.conf sau /etc/dhcp3/dhcpd. conf. 


3. Decideţi asupra unui valid scope şi activaţi-l. 
4. Testați cu un client dacă serverul DHCP funcționează. 


5. Folosiţi wireshark pentru a captura cele patru broadcast-uri cînd un client 
primeşte un ip (pentru prima dată). 


6. Folosiţi wireshark pentru a captura DHCPNAK şi un DHCP release. 

7. Rezervaţți o configurare pentru un client particular (folosind adresa mac). 
8. Configurați serverele DHCP/DNS cu un hostname şi domaine name corespunzător 
(/etc/hosts, /etc/hostname, /etc/sysconfig/network pe Fedora/RHEL, / 
etc/resolv.conf ..). Aţi putea avea nevoie să dezactivaţi NetworkManager pe 


desktopurile *buntu. 


9. Asiguraţi-vă că serverul DNS funcționează în continuare, şi că este master 
deasupra a (cel puțin) un domeniu. 


Există mai multe modalități de a rezolva paşii 10-11-12. Google este prietenul 
în explorare cu chei DDNS, cu fişiere-chei sau fără chei. 


10. Configuraţi serverul DNS pentru a permite update-uri dinamice de la serverul 
DHCP. 


11. Configurați serverul DHCP pentru a trimite update-uri dinamice serverului 
DNS. 


12. Testați funcționarea Dynamic DNS. 
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Partea IV. firewall iptables 
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Capitolul 14. introducere la rutere 


Conţinut 

14.1. ruter sau firewall. 

14.2. expediere pachet. 

14.3. filtrare pachet. E 

14.4.  stateful (declarat). Ă 

14.5. nat (network address translation). (translarea adresei network). 
14.6. pat (port address translation) (translarea adresei port). 

14.7.  snat (sursă nat). 

14.8.  masquerading. i 

14.9.  dnat (destinație nat). 


14.10. destinaţie port. . . : 
14.11. /proc/sys/net/ipva/ip_ forward. 
14.12. /etc/sysctl.conf. 9, ceia 8 ii 
14.13. sysctl. E aaa at ati Al Asu de 
14.14. practică: expediere pachet. 
14.15. soluție: expediere pachet. 


Ceea ce urmează este o foarte scurtă introducere la utilizarea Linux ca un 
ruter. 
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14.1. ruter sau firewall 


Un ruter este un dispozitiv care conectează două rețele. Un firewall este un 
dispozitiv care în afară că acţionează ca un ruter, de asemeni conține (şi 
implementează) reguli pentru a determina dacă pachetelelor le este permis să se 
transfere dintr-o rețea în alta. Un firewall poate fi configurat să blocheze 
accesul bazîndu-se pe reţele, nume de maşini, protocoluri şi porturi. Firewall- 
urile pot de asemeni să schimbe conținutul pachetelor în timp ce le trimit. 


router or 
firewall ? 


14.2. expediere pachet 


packet forwarding (expedierea pachetelor) înseamnă permiterea ca pachetele să se 
transfere dintr-o rețea în alta. Cînd o gazdă cu mai multe computere acasă este 
conectată la două rețele diferite, şi permite pachetelor să se transmită dintr-o 
rețea în alta prin cele două interfeţe de reţea, se numeşte că are activată 
expedierea pachetului (packet forwarding). 


14.3. filtrare pachet 


filtrarea pachetului (packet filtering) este foarte similară cu expedierea 
pachetului, dar fiecare pachet este individual testat împotriva regulilor care 
decid permiterea sau „aruncarea” pachetului. Regulile sînt stocate în iptables. 


14.4. stateful (declarat) 


Un firewall declarat (stateful) este o avansare deasupra firewall-urilor fără 
declarație, care inspectează fiecare pachet individual. Un firewall declarat va 
păstra un tabel a conexiunilor active, şi ştie îndeajuns să recunoască cînd noi 
conexiuni sînt parte a sesiunii active. Linux iptables este un firewall 
declarat. 


14.5. nat (network address translation) (translarea adresei network) 


Un dispozitiv nat este un ruter care schimbă şi sursa şi/sau ținta adresei ip în 
pachete. Este în mod tipic utilizat pentru a conecta mai multe computere într-o 
rază de acțiune adresă privată (rfc 1918) cu internet (public). Un nat poate 
ascunde adresele private din internet. 


Este important de înțeles că oamenii şi vînzătorii nu folosesc întotdeauna 
termenul potrivit cînd fac referiri la un anumit tip de nat. Asiguraţi-vă că 
vorbiți despre acelaşi lucru. Putem distinge mai multe tipuri de nat. 


14.6. pat (port address translation) (translarea adresei port) 
nat deseori include pat. Un dispozitiv pat este un ruter care de asemeni schimbă 
sursa şi/sau ţinta port tcp/udp în pachete. pat este o terminologie Cisco şi 


este folosită de snat, dnat, masquerading şi expeditor port (port forwarding) în 
Linux. RFC 3022 o denumeşte NAPT şi defineşte combinația nat/pat "nat 
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tradițional". Un dispozitiv vîndut ca dispozitiv nat va fi probabil şi nat şi 
pat. 


14.7. snat (sursă nat) 


Un dispozitiv snat schimbă sursa adresei ip cînd un pachet trece prin nat. 
Configurarea snat cu iptables include o adresă sursă țintă fixă. 


14.8. masquerading 

masquerading (mascarea) este o formă de snat care va ascunde sursa (privată) 
adreselor ip din rețeaua privată folosind o adresă ip publică. Mascarea este 
comună pe interfețele internet dinamice (modemuri/rutere broadband). 
Configurația mascării cu iptables foloseşte o adresă sursă țintă dinamică. 
14.9. dnat (destinaţie nat) 

Un dispozitiv dnat schimbă destinaţia adresei ip cînd un pachet trece prin nat. 
14.10. expediere port (port forwarding) 

Cînd dnat static este setat într-o modalitate care permite conexiuni din afară 
să intre în rețeaua noastră privată, atunci numim asta expediere port (port 
forwarding) . 

14.11. /proc/sys/net/ipv4/ip_ forward 

Dacă un nume de maşină face expedierea pachetelor, acest lucru este definit în 


/proc/sys/net/ipv4/ip_forward. Următoarea captură de ecran arată cum să activăm 
expedierea pachet (packet forwarding) pe Linux. 


rooterouter-t echo 1 > /proc/sys/net/ipv4/ip_forward 


Următoarea comandă arată cum să dezactivăm expedierea pachet (packet 
forwarding). 


rooterouter-t echo 0 > /proc/sys/net/ipv4/ip_forward 
Folosiţi cat pentru a verifica dacă expedierea pachet este activată. 
rooterouter-t cat /proc/sys/net/ipv4/ip_forward 


14.12. /etc/sysctl.conf 
Prin default, cele mai multe computere Linux nu sînt configurate pentru 
expediere automată pachet. Pentru a autoriza expedierea pachet oricând intrăm pe 


sistem, schimbaţi variabila net.ipv4.ip forward în /etc/sysctl.conf la valoarea 
alei 


rooterouter-t grep ip_forward /etc/sysctl.conf 
net.ipv4.ip_forward = 0 


14.13. sysctl 
Pentru mai multe informații, priviți la pagina de manual sysctl. 
rootâdebian6-t man sysctl 


rootedebian6-t sysctl -a 2>/dev/null | grep ip_forward 
net.ipv4.ip_forward = 0 
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14.14. practică: expediere pachet 


0. Aveţi opțiunea de a selecta (sau crea) o reţea internă cînd adăugați o placă 
de rețea în VirtualBox sau VMWare. Folosiţi această opţiune pentru a crea două 
rețele interne. Le-am denumit leftnet și rightnet, dar puteți alege orice alt 
nume. 


a? Network 


Adapter 1: Intel PRO/1000 MT Desktop (Bridged Adapter, enl: AirPort) 
Adapter 2: Intel PRO/1000 MT Desktop (Internal Network, 'leftnet') 
Adapter 3: Intel PRO/1000 MT Desktop (Internal Network, 'rightnet') 


1. Setați două maşini Linux, una pe leftnet, cealaltă pe rightnet. Asiguraţi-vă 
că ambele obțin o adresă ip în subnetul corect. Aceste două maşini vor fi 'left! 
şi 'right! de la 'ruter'. 


leftnet rightnet 


router 


2. Setați un al treilea computer Linux cu trei plăci network, una pe leftnet, 
cealaltă pe rightnet. Acest computer va fi 'ruter-ul!'. Completaţi tabelul de mai 
jos cu numele corespunzătoare, adresele ip şi adresele mac. 


10.0.60.8 


Tabel 14.1. exercițiu expeditor pachet 


computer leftnet | ruter-ul | computer rightnet 


MAC 
Îl 


3. Cum puteţi verifica dacă ruter-ul va permite expedierea pachet prin default 
sau nu? Testaţți că puteţi face ping de la ruter către celelalte două maşini, şi 
de la acele două maşini către ruter. Folosiţi arp -a pentru a fi siguri că 
sînteți conectat cu adresa mac corectă. 


IP 


4. Faceți ping de la computerul leftnet la computerul rightnet. Activaţi sau/şi 
dezactivați expedierea pachet pe ruter şi verificaţi ce se întîmplă cu pingul 
între cele două reţele. Dacă nu reuşiți să faceți ping între cele două reţele 
(pe subneturi diferite), atunci folosiţi un interceptor ca wireshark sau tcpdump 
pentru a descoperi problema. 


5. Folosiţi wireshark sau tcpdump -xx pentru a răspunde următoarelor întrebări. 


Sursa MAC se schimbă cînd un pachet trece prin filtru? Şi MAC-ul destinație? Ce 
e cu sursa şi destinația adreselor ip? 
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6. Vă amintiți de a treia placă de rețea de pe ruter? Conectaţi această placă de 
rețea cu un LAN cu conexiune internet. Comanda dhclient etho funcționează pe mai 
multe LAN-uri (înlocuiți etho cu interfața corectă). 


rootârouter-t dhclient etho 


Aveţi acum o setare similară cu acest desen. Ce trebuie să fie făcut să dăm 
acces internet leftnet şi rightnet? 


leftnet 
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14.15. soluție: expediere pachet 


a? Network 


Adapter 1: Intel PRO/1000 MT Desktop (Bridged Adapter, enl: AirPort) 
Adapter 2: Intel PRO/1000 MT Desktop (Internal Network, 'leftnet') 
Adapter 3: Intel PRO/1000 MT Desktop (Internal Network, 'rightnet') 


1. Setați două maşini Linux, una pe leftnet, cealaltă pe rightnet. Asiguraţi-vă 
că ambele obțin o adresă ip în subnetul corect. Aceste două maşini vor fi 'left! 
şi 'right! de la 'ruter'. 


rightnet 


router 


CE „db d 


Configuraţia ip pe computere ar trebui să fie similară cu următoarele două 
capturi de ecran. Ambele maşini trebuie să fie într-un subnet diferit (aici 
192.168.60.0/24 şi 192.168.70.0/24). Am creat un mic script pe ambele maşini 
pentru a configura interfețele. 


rootâleft-4+ cat leftnet.sh 
pkill dhclient 
ifconfig etho 192.168.60.8 netmask 255.255.255.0 


rootâright-t cat rightnet.sh 
pkill dhclient 
ifconfig etho 192.168.70.9 netmask 255.255.255.0 


2. Setați un al treilea computer Linux cu trei plăci network, una pe leftnet, 
cealaltă pe rightnet. Acest computer va fi 'ruter-ul'. Completaţi tabelul de mai 
jos cu numele corespunzătoare, adresele ip şi adresele mac. 


rootârouter-t cat router.sh 

ifconfig ethl 192.168.60.1 netmask 255.255.255.0 
ifconfig eth2 192.168.70.1 netmask 255.255.255.0 
echo 1 > /proc/sys/net/ipv4/ip_forward 


Setarea voastră poate folosi adrese ip şi mac altele decît cele din tabelul de 
mai jos. 


Tabelul 14.2. soluție expediere pachet 


leftnet computer ruter rightnet computer 
08:00:27:f6:ab:b9 08:00:27:43:1f:5a 08:00:27:be:4a:6b 08:00:27:14:8b:17 
192.168.60.8 192.168.60.1 192.168.70.1 192.168.70.9 
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3. Cum puteţi verifica dacă ruter-ul va permite expedierea pachet prin default 
sau nu? Testaţți că puteţi face ping de la ruter către celelalte două maşini, şi 
de la acele două maşini către ruter. Folosiţi arp -a pentru a fi siguri că 
sînteți conectat cu adresa mac corectă. 


Asta poate fi făcut cu "grep ip_forward /etc/sysctl.conf" (1 este activat, 0 
este dezactivat) sau cu sysctl -a | grep ip_for. 


rooterouter-t grep ip_for /etc/sysctl.conf 

net.ipv4.ip_forward = 0 

4. Faceți ping de la computerul leftnet la computerul rightnet. Activaţi sau/şi 
dezactivați expedierea pachet pe ruter şi verificaţi ce se întîmplă cu ping-ul 
între cele două reţele. Dacă nu reuşiți să faceți ping între cele două reţele 


(pe subneturi diferite), atunci folosiţi un interceptor ca wireshark sau tcpdump 
pentru a descoperi problema. 


Aţi uitat să adăugaţi un default gateway la maşinile LAN? Folosiţi route add 
default gw 'ip-address!. 


rootâleft-t route add default gw 192.168.60.1 
rooteright-t route add default gw 192.168.70.1 


Ar trebui să fiţi capabili să faceţi ping cînd expedierea pachet este activată 
(şi ambele gateways default sînt configurate corect). Ping nu va funcţiona cînd 
destinaţia pachet este dezactivată sau cînd gateways-urile nu sînt configurate 
corect. 


5. Folosiţi wireshark sau tcpdump -xx pentru a răspunde următoarelor întrebări. 


Sursa MAC se schimbă cînd un pachet trece prin filtru? Şi MAC-ul destinație? Ce 
e cu sursa şi destinația adreselor ip? 


Ambele adrese MAC sînt schimbate cînd trec prin ruter. Folosiţi tcpdump -xx aşa: 
rooterouter-t tcpdump -xx -i ethl 
rootârouter-t tcpdump -xx -i eth2 
6. Vă amintiți de a treia placă de rețea de pe ruter? Conectaţi această placă de 
rețea la un LAN cu conexiune internet. Comanda dhclient etho funcționează pe mai 


multe LAN-uri (înlocuiți etho cu interfața corectă). 


rootârouter-t dhclient etho 


Aveţi acum o setare similară cu acest desen. Ce trebuie să fie făcut să dăm 
acces internet leftnet şi rightnet? 
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router 


(Dă d RE, 


10.0.60.8 


Clienţii de pe leftnet şi rightnet au nevoie de un server dns care funcţionează. 
Folosim unul din serverele dns Google aici. 


echo nameserver 8.8.8.8 > /etc/resolv.conf 
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Capitolul 15. firewall iptables 


Conţinut 

15.1. tabele iptables se e i e e e e e ae ati e ae at ha 8 ai e a a a ED 
15.2. start şi stop iptables. . . . . . ca 21 
15.8. “tabelul FINE e e ee a e ae a a aa a nu SL2IL 
15.4. practică: filtrare pachet. . . . . . . m „426 
15.5. soluție: filtrare pachet. . . . . . . a „A27 
15.6. translarea adresei network. . . . . . [eee e „128 


Acest capitol introduce unele reguli simple firewall şi cum să le configurați cu 
iptables. 


iptables este o aplicație care permite unui utilizator să configureze 
funcționalitatea firewall construită în kernel-ul Linux. 
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15.1. tabele iptables 
Prin default există trei tabele în kernel care conțin seturi de reguli. 
tabelul filtru este folosit pentru filtrarea pachetelor. 


rootedebian6-t iptables -t filter -L 


Chain INPUT (policy ACCEPT) 
target prot opt source destination 


Chain FORWARD (policy ACCEPT) 
target prot opt source destination 


Chain OUTPUT (policy ACCEPT) 
target prot opt source destination 


tabelul nat este folosit pentru translarea adresei. 


rootedebian6-t iptables -t nat -L 


Chain PREROUTING (policy ACCEPT) 
target prot opt source destination 


Chain POSTROUTING (policy ACCEPT) 


target prot opt source destination 
Chain OUTPUT (policy ACCEPT) 
target prot opt source destination 


tabelul amestecat (mangle table) poate fi folosit pentru scopuri speciale de 
procesare a pachetelor. 


Serii de reguli în fiecare tabel sînt denumite un chain (lanț). Vom discuta 
chains şi tabelul nat mai tîrziu în acest capitol. 


15.2. start şi stop iptables 


Următoarea captură de ecran arată cun să oprim şi să pornim iptables pe Red 
Hat/Fedora/CentoOS şi distribuțiile compatibile. 


[rootecentos6 =]t service iptables stop 
[rootecentos6 =] service iptables start 
iptables: Applying firewall rules 

[rootecentos6 =] [ok ] 


Debian şi distribuțiile *buntu nu au acest script, dar permit o dezinstalare. 
rootedebian6-t aptitude purge iptables 

15.3. tabelul filtru 

despre pachete filtrate 

filtrarea pachetelor este ceva mai mult decît expedierea pachetelor. în timp ce 
expedierea pachetelor foloseşte doar un tabel rutare pentru a face decizii, 


filtrarea pachetelor foloseşte şi o listă de reguli. Kernel-ul va inspecta 
pachetele şi va decide bazîndu-se pe aceste reguli ce să facă cu fiecare pachet. 
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tabel filtru 


Tabelul filtru în iptables are trei lanțuri (seturi de reguli). Lanțul INPUT 
este folosit pentru orice pachet care intră în sistem. Lanțul OUTPUT este pentru 
orice pachet care pleacă din sistem. Şi lanțul FORWARD este pentru pachete care 
trec (sînt rutate) prin sistem. 


kernel 


Co > = 


SED —> | => OD 


Captura de ecran de mai jos arată cum să listăm tabelul filtru şi toate regulile 
lui. 


[rootQeRHEL5 =-]4 iptables -t filter -nL 


Chain INPUT (policy ACCEPT) 
target prot opt source destination 


Chain FORWARD (policy ACCEPT) 
target prot opt source destination 


Chain OUTPUT (policy ACCEPT) 
target prot opt source destination 
[rootQeRHEL5 =]4 


Precum puteți vedea, toate cele trei lanțuri în tabelul filtru sînt setate la 
ACCEPT orice. ACCEPT este comportarea default. 


setarea regulilor default 


Default pentru regula default este într-adevăr ACCEPT orice. Acesta nu este cel 
mai securizat firewall. 


O setare mai securizată ar fi DROP orice. Un pachet care este dropped (aruncat) 
nu va continua în nici un lanț, şi nici o avertizare sau eroare nu va fi trimisă 
nicăieri. 


Comenzile de mai jos blochează un computer. Nu executați aceste comenzi 
înăuntrul unui shell ssh remote. 
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rootedebianpaul-t iptables -P INPUT DROP 
rootedebianpaul-t iptables -P OUTPUT DROP 
rootedebianpaul-t iptables -P FORWARD DROP 
rootedebianpaul-t iptables -L 

Chain INPUT (policy DROP) 

target prot opt source destination 


Chain FORWARD (policy DROP) 
target prot opt source destination 


Chain OUTPUT (policy DROP) 
target prot opt source destination 


schimbarea regulilor politică 


Pentru a începe, haideţi să setăm politica default pentru toate cele trei 
lanțuri să arunce orice. Notaţi că s-ar putea să vă pierdeţi conexiunea cînd 
tastați asta în ssh. 


[rootQRHEL5 =]4 iptables -P INPUT DROP 
[rooteRHEL5 -]4 iptables -P FORWARD DROP 
[rooteRHEL5 -]4 iptables -P OUTPUT DROP 


Apoi, permitem serverului să-şi folosească propriul lui dispozitiv loopback 
(asta permite serverului să-şi acceseze serviciile rulînd pe localhost). Mai 
întîi adăugăm regula lanțului INPUT să permită (ACCEPT) trafic de la interfața 
lo (loopback), apoi facem acelaşi lucru pentru a permite pachetelor să 
părăsească sistemul prin interfața loopback. 


[rooteRHEL5 -]4 iptables -A INPUT -i lo -j ACCEPT 
[rootQRHEL5 =-]4 iptables -A OUTPUT -o lo -j ACCEPT 


Ne uităm la tabelul filtru din nou (omițînd filtrul -t pentru că el este tabelul 
default). 


[rooteRHEL5 -]4 iptables -nL 

Chain INPUT (policy DROP) 

target prot opt source destination 
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 


Chain FORWARD (policy DROP) 
target prot opt source destination 


Chain OUTPUT (policy DROP) 
target prot opt source destination 
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 


permitere ssh deasupra etho 


Acest exemplu arată cum să adăugaţi două reguli pentru a permite acces ssh la 
sistem din afară. 


[rooteRHEL5 -]+ iptables -A INPUT -i etho -p tcp --dport 22 -j ACCEPT 
[rooteRHEL5 =-]4 iptables -A OUTPUT -o etho -p tcp --sport 22 -j ACCEPT 


Tabelul filtru va arăta cam la fel cu această captură de ecran (notaţi că -v 
este adăugat pentru o ieşire cu mai multe date). 
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[rooteRHEL5-]+ iptables -nvL 


Chain INPUT (policy DROP 7 packets, 609 bytes) 
pkts bytes target prot opt in out source 
0) 0) ACCEPT all -- lo x 0.0.0.0/0 
0) 0) ACCEPT tcp  —-- etho x 0.0.0.0/0 


Chain FORWARD (policy DROP 0 packets, 0 bytes) 
pkts bytes target prot opt in out source 


Chain OUTPUT (policy DROP 3 packets, 228 bytes) 


pkts bytes target prot opt in out source 
0) O ACCEPT all -- x lo 0.0.0.0/0 
0) O ACCEPT tcp —- x etho 0.0.0.0/0 


[rootQRHEL5 =-]% 


permiterea accesului dintr-un subnet 


destination 
0.0.0.0/0 
0.0.0.0/0 tcp dpt:22 


destination 


destination 
0.0.0.0/0 
0.0.0.0/0 tcp spt:22 


Acest exemplu arată cum să permitem accesul oricărui computer în rețeaua 
10.1.1.0/24, dar doar prin eth1. Nu există o limitare port (aplicaţie) aici. 


[rooteRHEL5 -]4 iptables -A INPUT -i ethl -s 10.1.1.0/24 -p tcp -j ACCEPT 
[rooteRHEL5 -]+ iptables -A OUTPUT -o ethl -d 10.1.1.0/24 -p tcp -j ACCEPT 


Împreună cu exemplele de mai înainte, politica se măreşte. 


[rooteRHEL5-]+ iptables -nvL 
Chain INPUT (policy DROP 7 packets, 609 bytes) 


pkts bytes target prot opt in out source 

0) 0 ACCEPT all -- lo x 0.0.0.0/0 

0) O ACCEPT tcp —- etho x 0.0.0.0/0 

0) 0 ACCEPT tcp -- ethl x 10.1.1.0/24 


Chain FORWARD (policy DROP 0 packets, 0 bytes) 
pkts bytes target prot opt în out source 


Chain OUTPUT (policy DROP 3 packets, 228 bytes) 


pkts bytes target prot opt în out source 

0) O ACCEPT all -- «+ lo 0.0.0.0/0 
0) O ACCEPT tcp —-- x etho  0.0.0.0/0 
0) O ACCEPT tcp —- x ethl 0.0.0.0/0 


iptables save 


destination 
0.0.0.0/0 

0.0.0.0/0 tcp dpt:22 
0.0.0.0/0 


destination 


destination 
0.0.0.0/0 

0.0.0.0/0 tcp spt:22 
10.1.1.0/24 


Folosiţi iptables save pentru a implementa automatic aceste reguli cînd 


firewall-ul este (rejstartat. 


[rooteRHEL5 -]4 /etc/init.d/iptables save 
Saving firewall rules to /etc/sysconfig/iptables: 
[rootQRHEL5 =-]% 


script exemplu 


Puteți scrie un script simplu pentru aceste reguli. Mai jos este un script 
exemplu care implementează regulile firewall pe care le-aţi văzut înainte în 


acest capitol. 
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4! /bin/bash 
+ mai întîi 


curăţaţi tot 


iptables -t filter -F 
iptables -t filter -X 
iptables -t nat -F 
iptables -t nat -X 


+ drop default 


iptables -P INPUT DROP 
iptables -P FORWARD DROP 
iptables -P OUTPUT DROP 


+ permitere dispozitiv loopback 
iptables -A INPUT -i lo -j ACCEPT 
iptables -A OUTPUT -o lo -j ACCEPT 


+ permitere ssh deasupra etho din afară la sistem 
iptables -A INPUT -i etho -p tcp --dport 22 -j ACCEPT 
iptables -A OUTPUT -o etho -p tcp --sport 22 -j ACCEPT 


+ permitere orice trafic de la 10.1.1.0/24 la sistem 
iptables -A INPUT -i eth1l -s 10.1.1.0/24 -p tcp -j ACCEPT 
iptables -A OUTPUT -o ethl -d 10.1.1.0/24 -p tcp -j ACCEPT 


permitere ICMP (ping) 


Cînd autorizați iptables, veți primi un mesaj 'Operation not permitted' cînd 
încercați să faceți ping altui nume de maşină. 


[rootQeRHEL5 =+ ping 192.168.187.130 

PING 192.168.187.130 (192.168.187.130) 56(84) bytes of data. 
ping: sendmsg: Operation not permitted 

ping: sendmsg: Operation not permitted 


Captura de ecran de mai jos arată cum să setați iptables pentru a permite un 
ping de la sau la maşină. 


[rooteRHEL5 -]+ iptables -A INPUT -p îcmp --icmp-type any -j ACCEPT 

[rooteRHEL5 -]+ iptables -A OUTPUT -p icmp --icmp-type any -j ACCEPT 

Cele două linii de mai sus nu permit altor computere să ruteze mesaje ping prin 
ruter, deoarece are grijă doar de INPUT şi OUTPUT. Pentru rutarea ping, va 
trebui să o autorizați în lanțul FORWARD. Următoarea comandă autorizează rutarea 
mesajelor icmp între rețele. 


[rooteRHEL5 -]+ iptables -A FORWARD -p icmp --icmp-type any -j ACCEPT 
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15.4. practică: filtrare pachet 

1. Asiguraţi-vă că puteți intra ssh în sistemul-ruter cînd iptables este activ. 
2. Asiguraţi-vă că puteți face ping sistemului-ruter cînd iptables este activ. 
3. Definiţi una dintre reţele ca 'internă!' şi alta ca 'externă'. Configuraţi 
ruter-ul să permită vizite la un website (http) să meargă de la rețeaua internă 


la reţeaua externă (dar nu în direcție inversă). 


4. Asiguraţi-vă că rețeaua internă poate avea legătură ssh cu cea externă, dar 
nu invers. 
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15.5. soluție: filtrare pachet 


O soluție posibilă, unde leftnet este rețeaua internă şi rightnet este cea 
externă. 


4! /bin/bash 

+ mai întîi curăţaţi tot 
iptables -t filter -F 
iptables -t filter -X 
iptables -t nat -F 
iptables -t nat -X 


+ default drop 

iptables -P INPUT DROP 
iptables -P FORWARD DROP 
iptables -P OUTPUT DROP 


+ permitere dispozitiv loopback 
iptables -A INPUT -i lo -j ACCEPT 
iptables -A OUTPUT -o lo -j ACCEPT 


+ întrebarea 1: permitere ssh deasupra etho 
iptables -A INPUT -i etho -p tcp --dport 22 -j ACCEPT 
iptables -A OUTPUT -o eth0 -p tcp --sport 22 -j ACCEPT 


4 întrebarea 2: permitere icmp (ping) oriunde 
iptables -A INPUT -p icmp --icmp-type any -j ACCEPT 
iptables -A FORWARD -p icmp --icmp-type any -j ACCEPT 
iptables -A OUTPUT -p icmp --icmp-type any -j ACCEPT 


4 întrebarea 3: permitere http din interior (leftnet) la exterior (rightnet) 
iptables -A FORWARD -i ethl -o eth2 -p tcp --dport 80 -j ACCEPT 
iptables -A FORWARD -i eth2 -o ethl -p tcp --sport 80 -j ACCEPT 


4 întrebarea 4: permitere ssh din interior (leftnet) la exterior (rightnet) 
iptables -A FORWARD -i ethl -o eth2 -p tcp --dport 22 -j ACCEPT 
iptables -A FORWARD -i eth2 -o ethl -p tcp --sport 22 -j ACCEPT 


+ permitere http din exterior (rightnet) la interior (leftnet) 
4 iptables -A FORWARD -i eth2 -o eth1l -p tcp --dport 80 -j ACCEPT 
4 iptables -A FORWARD -i ethl -o eth2 -p tcp --sport 80 -j ACCEPT 


+ permitere rpcinfo deasupra etho din afara sistemului 
iptables -A INPUT -i eth2 -p tcp --dport 111 -j ACCEPT 
4 iptables -A OUTPUT -o eth2 -p tcp --sport 111 -j ACCEPT 


=== 
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15.6. translarea adresei network (network address translation) 

despre NAT 

Un dispozitiv NAT este un ruter care de asemeni schimbă sursa şi/sau ţinta 
adresei ip în pachete. Este în mod tipic folosit pentru a conecta mai multe 
computere într-o rază de acțiune adresă privată cu internetul (public). Un NAT 
poate ascunde adresele private de pe internet. 

NAT a fost dezvoltat pentru a modera folosirea adresei ip reale, pentru a 
permite adreselor private să ajungă în internet şi înapoi, şi pentru a nu 
dezvălui detalii despre reţele interne către exterior. 

Tabelul NAT în iptables adaugă două noi lanțuri. PREROUTING permite alterarea 


pachetelor înainte ca ele să ajungă în lanțul INPUT. POSTROUTING permite 
alterarea pachetelor după ce ele ies din lanțul OUTPUT. 


DEI = (> => 


Folosiţi iptables -t nat -nvL pentru a privi la tablelul NAT. Screenshot-ul de 
mai jos arată un tabel NAT gol. 


[rooteRHEL5 -]4 iptables -t nat -nL 
Chain PREROUTING (policy ACCEPT) 
target prot opt source destination 


Chain POSTROUTING (policy ACCEPT) 
target prot opt source destination 


Chain OUTPUT (policy ACCEPT) 
target prot opt source destination 
[rootQRHEL5 =]4 


SNAT (Sursă NAT) 


Scopul Sursă NAT este să schimbe adresa sursă în interiorul unui pachet înainte 
de a pleca din sistem (de exemplu spre internet). Destinația va întoarce 
pachetul la un dispozitiv-NAT. Asta înseamnă că dispozitivul nostru NAT va 
trebui să țină un tabel în memorie a tuturor pachetelor pe care le schimbă, 
astfel încît să poată trimite pachetul sursei originale (de ex. în reţeaua 
privată). 


Pentru că în SNAT este vorba de pachete care pleacă din sistem, el foloseşte 
lanțul POSTROUTING. 


Aici este un exemplu de regulă SNAT. Regula spune că pachetele care vin de la 
rețeaua 10.1.1.0/24 şi ies prin eth1 vor lua adresa sursă ip setată la 
11.12.13.14 (Notaţți că acest exemplu este o singură linie de comandă!). 


iptables -t nat -A POSTROUTING -o eth1l -s 10.1.1.0/24 -j SNAT | 
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--to-source 11.12.13.14 


Desigur trebuie să existe o setare corectă a filtrului iptables pentru a permite 
pachetului să traverseze dintr-o reţea în alta. 


exemplu de setare SNAT 


Acest script exemplu foloseşte o setare nat tipică. Reţeaua internă (eth0) are 
acces prin SNAT la webservere (port 80) externe (eth1). 


4! /bin/bash 

i 

4 iptables script for simple classic nat websurfing 

4 ethO is internal network, ethl is internet 

i 

echo 0 > /proc/sys/net/îipv4/îip_forward 

iptables -P INPUT ACCEPT 

iptables -P OUTPUT ACCEPT 

iptables -P FORWARD DROP 

iptables -A FORWARD -i etho -o ethl -s 10.1.1.0/24 -p tcpi 
--dport 80 -j ACCEPT 

iptables -A FORWARD -i eth1 -o etho -d 10.1.1.0/24 -p tepi 
--sport 80 -j ACCEPT 

iptables -t nat -A POSTROUTING -o ethl -s 10.1.1.0/24 -j SNAT | 
--to-source 11.12.13.14 

echo 1 > /proc/sys/net/îipv4/ip_forward 


mascare IP 

Mascarea IP (IP masquerading) este similară cu SNAT, dar este făcută pentru 
interfețele dinamice. Exemple tipice sînt 'ruterele/modemurile!' broadband 
conectate la internet care primesc o adresă ip diferită de la ofertantul de 
servicii internet, de fiecare dată cînd sînt butate. 


Singura schimbare necesară pentru a converti scriptul SNAT la masquerading este 
o linie. 


iptables -t nat -A POSTROUTING -o ethl -s 10.1.1.0/24 -j MASQUERADE 

DNAT (Destinație NAT) 

DNAT este în mod tipic folosit pentru a permite pachetelor din internet să fie 
redirectate la un server intern (în DMZ) şi într-o rază de acțiune de adresă 


privată care este inaccesibilă direct din internet. 


Acest script exemplu permite utilizatorilor internet să ajungă la serverul 
nostru intern (192.168.1.99) prin ssh (port 22). 
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4! /bin/bash 


ii 


4 iptables script for DNAT 
i etho is internal network, eth1l is internet 


iii 

echo 0 > 
iptables 
iptables 
iptables 
iptables 
iptables 
iptables 


/proc/sys/net/ipv4/ip_forward 


-P 
-P 
-P 


INPUT ACCEPT 

OUTPUT ACCEPT 

FORWARD DROP 

FORWARD -i etho -o ethl -s 10.1.1.0/24 -j ACCEPT 
FORWARD -i ethl -o etho -p tcp --dport 22 -j ACCEPT 
nat -A PREROUTING -i ethl -p tcp --dport 22 | 


-j DNAT --to-destination 10.1.1.99 
echo 1 > /proc/sys/net/îipv4/îip_forward 
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Partea V. apache şi squid 
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Capitolul 16. introducere în apache 


Conţinut 

161. despre. apache: e i e te o a te at a oa a a n eta o a trai a 82 
16.2. este instalat apache?. . . . . . a 1482 
16.3. apache se execută?. . . . ca 182 
16.4. configurare apache. . . . . . a 188 
16.5. nume de maşini virtuale. . . . . ca 484 
16.6. aliasuri şi redirectări. . . EI i E E a aici: 
16.7. securizare directoare cu htpasswd. şi „htaccess. . . . . . . . . . „ . 185 
16.8. mai mult despre .htaccess. . . . . . a 486 
169 "ERAPIE ra pi cae A ainu a a Paun? a3a 300 0 ate ERP ard di asa 300, Vapmrie taa bard eee ata 390 Vant a Î80 
16:10; “praetică: apache. i n e e e a e e cae a cae a 8 oa ai aia a a a te LIT 


16.1. despre apache 


După NetCraft (http://news.netcraft.com/archives/web_server_survey.html) aproape 
şaptezeci la sută dintre toate serverele web execută apache. Unii oameni spun că 
numele este derivat de la un web server a patchy, deoarece oamenii au scris 
toate patch-urile pentru serverul httpd NCSA. 


16.2. este instalat apache? 


Pentru a verifica dacă apache este instalat, folosiţi utilitarele 
corespunzătoare (rpm, dpkg, ..) şi grep pentru apache sau httpd. 


Acest Server Red Hat Enterprise 4 are apache instalat. 


[paulerhela -]$ rpm -qa | grep -i httpd 
httpd-2.0.52-25.ent 
httpd-manual-2.0.52-25.ent 
system-config-httpd-1.3.1-1 
httpd-devel-2.0.52-25.ent 
httpd-suexec-2.0.52-25.ent 


Acest Ubuntu de asemeni are apache instalat. 


paulelaika:-$ dpkg -l | grep apache 

ii apache2 2.2.3-3.2build1 Next generation, scalable, ... 
ii apache2-mpm-prefork 2.2.3-3.2build1 Traditional model for Apach... 
ii apache2-utils 2.,2.3-3.2buildl utility programs for webser... 
ii apache2.2-common 2.2.3-3.2build1 Next generation, scalable, 

ii libapache2-mod-php5 5.2.1-0ubuntul.2 server-side, HTML-embedded 


NN NN N 


16.3. apache se execută? 


Astfel arată apache cînd este instalat pe Red Hat Enterprise Linux 4, 
executîndu-se numit ca httpd. 
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[rootQRHELv4u3 -]4 /etc/init.d/httpd status 
httpd is stopped 
[rootQRHELv4u3 =-]4 service httpd start 


Starting httpd: [ OK |] 
[rooteRHELv4u3 -]t ps -C httpd 
PID TTY TIME CMD 
4573 ? 00:00:00 httpd 
4576 ? 00:00:00 httpd 
4577 ? 00:00:00 httpd 
4578 ? 00:00:00 httpd 
4579 ? 00:00:00 httpd 
4580 ? 00:00:00 httpd 
4581 ? 00:00:00 httpd 
4582 ? 00:00:00 httpd 


4583 ? 00:00:00 httpd 
[rooteRHELv4u3 -]4 


Şi aici este apache executîndu-se pe Ubuntu, numit ca apache2. 


rootalaika:=t ps -C apache2 


PID TTY TIME CMD 

6170 ? 00:00:00 apache2 
6248 ? 00:00:01 apache2 
6249 ? 00:00:01 apache2 
6250 ? 00:00:00 apache2 
6251 ? 00:00:01 apache2 
6252 ? 00:00:01 apache2 
7520 ? 00:00:01 apache2 


8943 ? 00:00:01 apache2 

rootelaika:-4 /etc/init.d/apache2 status 

x Usage: /etc/init.d/apache2 îstart|stop|restart|reload|force-reloady 
rootelaika:-t 


Pentru a verifica dacă apache se execută, deschideţi un browser web pe serverul 
web, şi navigați la http://localhost. 0 pagină test apache ar trebui să se 
afişeze. url-ul http://localhosts/manual vă va da un manual apache extensiv. Al 
doilea test este să conectaţi apache de pe un alt computer. 


16.4. configurare apache 


Configurarea apache s-a schimbat un pic în ultimii doi ani. Dar ea încă are loc 
în /etc/httpd sau /etc/apache. 


[rootQRHELv4u3 =-]4 cd /etc/httpd/ 

[rooteRHELv4u3 httpd]t 11 

total 32 

Lrwxrwxrwx 1 root root 25 Jan 24 09:28 build -> ../../usr/lib/httpd/build 
drwxr-xr-x 7 root root 4096 Jan 24 08:48 conf 

drwxr-xr-x 2 root root 4096 Jan 24 09:29 conf.d 

Lrwxrwxrwx 1 root root 19 Jan 24 08:48 logs —> ../../var/log/httpd 

Lrwxrwxrwx 1 root root 27 Jan 24 08:48 modules -> ../../usr/lib/httpd/modules 
Lrwxrwxrwx 1 root root 13 Jan 24 08:48 run —> ../../var/run 

[rootQeRHELv4u3 httpd]t 


Fişierul principal de configurare pentru serverul apache pe RHEL este 
/etc/httpd/conf/httpd.conf, pe Ubuntu el este /etc/apache2/apache2. conf. 
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Fişierul este explicit, şi conține exemple cum să setăm nume de maşini virtuale 
sau să configurăm accesul. 


16.5. nume de maşini virtuale 


Nume de maşini virtuale pot fi definite de adrese ip, de port sau de nume 
(înregistrare host). (Noua modalitate de a defini nume de maşini virtuale este 
prin fişiere de configurare separate în directorul conf.d). Mai jos este o 
foarte simplă definire de nume de maşină virtuală. 


[rooterhel4 conf]t tail /etc/httpd/conf/httpd.conf 
i 

4 This is a small test website 

: 

<VirtualHost testsite. local:80> 

ServerAdmin webmasterâtestsite. local 
DocumentRoot /var/wwuw/html/testsite/ 

ServerName testsite. local 

ErrorLog logs/testsite.local-error_log 
CustomLog logs/testsite.local-access_log common 
</VirtualHost> 

[rootarhela conf]t 


Ar trebui să puneţi acest mic fişier index.html în directorul menționat în 
captura de ecran de deasupra, ca să puteți accesa acest umil website. 


[rooterhel4 conf]t cat /var/wwm/html/testsite/index.html 
<htmb> 

<head><title>Test Site</title></head> 

<body> 

<p>This is the test site.</p> 

</body> 

</htm> 


Mai jos este un exemplu a configurării numelor de maşini virtuale. Acest nume de 
maşină virtuală suprascrie directiva default apache ErrorDocument. 


<VirtualHost 83.217.76.245:80> 
ServerName cobbaut.be 
ServerAlias www. cobbaut.be 
DocumentRoot /home/paul/public_html 
ErrorLog /home/paul/logs/error_log 
CustomLog /home/paul/logs/access_log common 
ScriptAlias /cgi-bin/ /home/paul/cgi-bin/ 
<Directory /home/paul/public_html> 
Options Indexes IncludesNOEXEC FollowSymLinks 
allow from all 
</Directory> 
ErrorDocument 404 http: //www. cobbaut.be/cobbaut.php 
</VirtualHost> 


16.6. aliasuri şi redirectări 
Apache suportă aliasuri pentru directoare, precum arată acest exemplu. 
alias /paul/ "/home/paul/public_html/" 


în mod similar, conținutul poate fi redirectat la alt website sau server web. 
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Redirect permanent /foo http://wumw. foo.com/bar 
16.7. securizarea directoarelor cu htpasswd şi .htaccess 


Puteți securiza fişierele şi directoarele în website cu un userid/parolă. Mai 
întîi, intraţi în website, şi folosiți comanda htpasswd pentru a crea un 
fişier .htpasswd care conține un userid şi o parolă (criptată). 


[rooterhel4 testsite]t htpasswd -c .htpasswd pol 
New password: 

Re-type new password: 

Adding password for user pol 

[rooterhel4 testsite]t cat .htpasswd 
pol:x5vZlyw1V6KXE 

[rootearhel4 testsite]t 


Puteți adăuga utilizatori în acest fişier, în schimb nu utilizaţi întrerupătorul 
-c din nou. 


[rooterhela4 testsite]t htpasswd .htpasswd kim 
New password: 

Re-type new password: 

Adding password for user kim 

[rooterhel4 testsite]t cat .htpasswd 
pol:x5vZlyw1V6KXE 

kim:6/RbvugwsgO0I6 

[rooterhel4 testsite]t 


Ați definit acum doi utilizatori. Apoi creați un subdirector pe care vreţi să-l 
protejaţi cu aceste două conturi. Şi puneţi următorul fişier .htaccess în acel 
subdirector. 


[rooterhel4 kimonly]t pwd 

[var /wum/html/testsite/kimonly 
[rooterhel4 kimonly]t cat .htaccess 
AuthuserFile /var/wwm/html/testsite/.htpasswd 
AuthGroupFile /dev/null 

AuthName "test access title" 
AuthType Basic 

<Limit GET POST> 

require valid-user 

</Limit> 

[rooterhel4 kimonly]t 


în sfîrşit, nu uitaţi să verificați dacă Allowoverride este setat la ALI în 
fişierul general de configurare apache. 


+ AllowOverride controls what directives may be placed in .htaccess files. 


4 It can be "ALL", "None", or any combination of the keywords: 
ii Options FileInfo AuthConfig Limit 
ii 


AllowOverride ALL 
De acum încolo, cînd un utilizator accesează un fişier în acel subdirector, acel 


utilizator va trebui să scrie o combinaţie userid/parolă care este definit 
în .htpasswd. 
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16.8. mai mult despre .htaccess 


Puteți face mult mai mult cu .htaccess. Un exemplu este să folosiți .htaccess 
pentru a preveni lumea din anumite domenii să acceseze website-ul. Ca în acest 
caz, unde un număr de referatori spammer sînt blocaţi de la website. 


paulelounge:-/cobbaut.beș cat .htaccess 

4 Options +FollowSymlinks 

RewriteEngine On 

RewriteCond %(HTTP_REFERER) Ahttp://(wumwi.. ) ?buy-adipex.fw.nu.*$ [OR] 
RewriteCond %(HTTP_REFERER)Y Ahttp:// (www. ) ?buy-levitra.asso.ws.x$ [NC,OR] 
RewriteCond %(HTTP_REFERER) Ahttp://(wwmi.. ) ?buy-tramadol. fw.nu.x$ [NC,OR] 
RewriteCond %(HTTP_REFERER) Ahttp:// (www. ) ?buy-viagra. lookin.at.*x$ [NC,OR] 


RewriteCond %(HTTP_REFERER) Ahttp:// (www. ) ?www.healthinsurancehelp.net.x$ [NC] 
RewriteRule .x - [F,L] 
paulelounge: -/cobbaut.beș 


16.9. trafic 
Apache păstrează un fişier-jurnal al tuturor vizitatorilor. webalizer-ul este 


deseori folosit pentru a analiza acest fişier-jurnal în frumoase statistici 
html. 
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16.10. practică: apache 


1, 


2. 


Verificaţi dacă apache este instalat şi se execută. 

Navigați la manualul apache HTML de la un alt computer. 

Creați un nume de maşină virtuală care ascultă pe portul 8247. 

Creați un nume de maşină virtuală care ascultă pe altă adresă ip. 

Testaţi de pe alt computer dacă toate numele de maşini virtuale funcționează. 


Protejaţi un subdirector a unui website cu .htpasswd şi .htaccess. 
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Capitolul 17. introducere la squid 


Conţinut 
17.1. despre servere proxy. . . . . a 188 
17.2. server proxy squid. . . . . 188 


17.1. despre servere proxy 
folosire 


Un server proxy este un server care stochează internet. Clienţii se conectează 
la serverul proxy cu o cerere pentru un server internet. Serverul proxy se va 
conecta la serverul internet în numele clientului. Serverul proxy de asemeni va 
stoca paginile regăsite din serverul internet. Un server proxy poate să dea 
pagini din rezerva lui unui client, în loc să se conecteze la un server internet 
pentru a regăsi (aceleaşi) pagini. 


Un server proxy are două avantaje principale. îmbunătăţeşte viteza navigării pe 
web cînd returnează date rezervate către clienți, şi reduce lățimea de bandă 
cerută (costul) la internet. 


Organizațiile mai mici pun uneori serverul proxy pe acelaşi computer fizic care 
este folosit ca NAT la internet. In organizațiile mari, serverul proxy este unul 
din multe servere în DMZ. 

Cînd traficul web trece printr-un server proxy, se obişnuieşte să se configureze 
proxy-ul cu setări extra pentru controlul accesului. Controlul accesului într-un 
server proxy poate însemna accesul contului utilizator, dar şi website (url), 
adresă ip sau restricții dns. 

servere proxy deschise 

Puteți găsi liste cu servere proxy deschise pe internet care vă permit să 
navigați anonim. Asta funcționează cînd serverul proxy se conectează din partea 
dumneavoastră la un website, fără a jurnaliza adresa ip. Dar fiţi atenţi, aceste 
proxy servere (listate) ar putea fi create pentru a spiona utilizatorii lor. 
squid 


Acest capitol este o introducere la serverul proxy squid (http://www. squid- 
cache.org). Versiunea utilizată este 2.5. 


[root&RHELA4 =]+ rpm -qa | grep squid 

squid-2.5.STABLE6-3.4E.12 

[rootQRHELA -]% 

17.2. server proxy squid 

/etc/squid/squid. conf 

Fişierul principal de configurație squid este /etc/squid/squid.conf. Fişierul 


explică fiecare parametru în cele mai mici detalii. 0 idee bună pentru început 
este să creați un backup a acestui fişier. 


[rooteRHEL4 /etc/squid/]t cp squid.conf squid.conf.original 
/var/spool/squid 


Serverul proxy squid stochează zona tampon memorie default în /var/spootT/squid. 
Această setare este configurabilă în /etc/squid/squid.conf. 
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[rootQeRHEL4 =] grep "14 cache_dir" /etc/squid/squid.conf 
4 cache_dir ufs /var/spool/squid 100 16 256 


Este posibil ca într-o setare default unde squid nu s-a executat niciodată, ca 
directoarele /var/spool/squid să nu existe. 


[rooteRHEL4 =] Is -al /var/spool/squid 
Is: /var/spool/squid: No such file or directory 


Executînd squid -z va crea directoarele necesare pentru squid. 


[rooteRHEL4 -]4 squid -z 

2008/09/22 14:07:47] Creating Swap Directories 
[rooteRHEL4 =] Is -al /var/spool/squid 

total 80 

drwxr-x--- 18 squid squid 4096 Sep 22 14:07 
drwxr-xr-x 26 root root 4096 May 30 2007 .. 
drwxr-xr-x 258 squid squid 4096 Sep 22 14:07 00 
drwxr-xr-x 258 squid squid 4096 Sep 22 14:07 01 
drwxr-xr-x 258 squid squid 4096 Sep 22 14:07 02 


portul 3128 sau portul 8080 


Prin default serverul proxy squid se va lega la portul 3128 pentru a asculta 
cererile incoming. 


[rootQeRHEL4 =] grep "default port" /etc/squid/squid.conf 
ii The default port number is 3128. 


Multe organizații folosesc portul 8080 în schimb. 


[rootQRHEL4 =] grep 8080 /etc/squid/squid.conf 
http_port 8080 


/var/ log/squid 


Locaţia fişierului-jurnal standard pentru squid este /var/log/squid. 


[rootQRHEL4 =] grep "/var/log" /etc/squid/squid.conf 
4 cache_access_log /var/log/squid/access. log 

4 cache_log /var/log/squid/cache. log 

4 cache_store_log /var/log/squid/store.log 


controlul accesului 

Setarea default squid permite doar acces localhost. Pentru a activa accesul 
pentru o rețea privată, căutați propoziția "INSERT YOUR OWN RULE(S) HERE..." 
în squid.conf şi adăugați două linii similare cu captura de ecran de mai jos. 


 INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS 


acl company_network src 192.168.1.0/24 
http_access allow company_network 


Restartați serverul squid, şi acum rețeaua privată locală poate folosi proxy-ul 
cache. 
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testare squid 


Mai întîi, asiguraţi-vă că serverul care execută squid are acces la internet. 


[rooteRHEL4-]t wget -q http://Linux-training.be/index.html 
[rootQRHEL4-]t Is -1 index.html 

-rw-r-—r-- 1 root root 2269 Sep 18 13:18 index.html 
[rootQRHEL4-]+ 


Apoi configurați un browser pe un client să utilizeze serverul proxy. SAU aţi 
putea seta variabila HTTP_PROXY (uneori http_proxy) să ţintească la programe de 
linie de comandă către proxy. 


[rootefedora =] export HTTP_PROXY=http://192.168.1.39:8080 
[rooteubuntu =] export http_proxy=http://192.168.1.39:8080 


Testarea pe o maşină client poate fi făcută cu wget (wget -q este folosit pentru 
a simplifica captura de ecran). 


[rootQRHEL5 =]4 > /etc/resolv.conf 

[rootQeRHEL5 =-]4 wget -q http://uwmw. linux-training.be/index.html 
[rootQRHEL5 =-]% 1s -1l index.html 

-rw-r--r-- 1 root root 2269 Sep 18 2008 index.html 

[rootQRHEL5 =]4 


rezoluție nume 


Aveţi nevoie de rezoluția numelui care să meargă pe serverul squid, dar nu aveţi 
nevoie de rezoluție nume pe clienţi. 


[pauleRHEL5 =-]$ wget http://grep.be 

--14:35:44-- http://grep.be 

Resolving grep.be... failed: Temporary failure in name resolution. 
[pauleRHEL5 -]$ export http_proxy=>http://192.168.1.39:8080 
[pauleRHEL5 =-]$ wget http://grep.be 

--14:35:49-- http://grep.be/ 

Connecting to 192.168.1.39:8080... connected. 

Proxy request sent, awaiting response... 200 OK 

Length: 5390 (5.3K) [text/html] 

Saving to: 'index.html.1! 


100% [===============2==>==2==2>2=22>=)]] 5,390 --.-K/s in 0.1s 
14:38:29 (54.8 KB/s) - 'index.html!' saved [5390/5390] 


[pauleRHEL5 -]$ 
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Partea VI. ipv6 
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Capitolul 18. introducere în ipv6 


Conţinut 
18.1. despre 
18.2. 

18.3. 

18.4. adresă 
18.5. adrese 
18.6. adrese 
18.7. adrese 
18.8.  6to4. 
18.9. ISP. 


18.10. adrese 
18.11. ping6. 
18.12. Belgia 


ipv6. 


network id şi host id, ; 
generare parte nume de maşină. 


ipva mapată ipvâ. 
link local. 

unice locale. : 
unicast unice global. 


non rutabile. 


şi ipve. 


18.13. alte website-uri. 

18.14. 6to4 gateway. 

18.15. ping6 şi dns. . . 
18.16. ipv6 şi tcp/http. i 
18.17. înregistrare ipv6 PTR. 


18.18. setare 


6to4 pe Linux. 
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18.1. despre ipv6 

Protocolul ipv6 este proiectat pentru a înlocui iîpv4. Unde versiunea ip 4 
suportă un maximum de patru miliarde de adrese unice, ip versiunea 6 măreşte 
acestea la patru miliarde ori patru miliarde ori patru miliarde ori patru 
miliarde de adrese unice. Asta este mai mult decît 100.000.000.000.000.000.000 
de adrese ipv6 pe centimetru pătrat pe planeta noastră. Asta ar trebui să fie 
îndeajuns, chiar dacă fiecare telefon celular, fiecare automat de cafea şi 
fiecare pereche de şosete iau o adresă. 

Din punct de vedere tehnic vorbind ipv6 foloseşte adrese 128-bit (în loc de 32- 


bit în comparație cu ipv4). Adresele cu 128-bit sînt numere imense. În decimale 
ar însemna 39 de cifre, în hexadecimale arată astfel: 


fe80:0000:0000:0000:0a00:27ff:fe8e:8aa8 


Din fericire ipv6 ne permite să omitem zerourile din față. Adresa noastră de mai 
sus devine atunci: 


fe80:0:0:0:a00:27ff:fe8e:8aa8 
Cînd un bloc de 16-bit este zero, el poate fi scris ca ::. Blocurile consecutive 


de 16-bit care reprezintă zero de asemeni pot fi scrise ca ::. Astfel adresa 
noastră de mai sus poate fi prescurtată la: 


fe80::a00:27ff: fe8e:8aa8 


Aceste :: se pot petrece doar o singură dată! Următoarea adresă ipv6 nu este 
validă: 


fe80::20:2e4f: :39ac 


Adresa ipv6 localhost este 0000:0000:0000:0000:0000:0000:0000:0001, care poate 
fi abreviată la ::1. 


pauledebian5:-/github/Lt/images$ /sbin/ifconfig lo | grep inet6 
inet6 addr: ::1/128 Scope:Host 


18.2. network id şi host id 
Una din puţinele similarități dintre ipv4 şi ipv6 este că adresele au o parte 


gazdă şi o parte rețea determinată de un subnet mască de rețea. Folosind notarea 
cidr asta arată astfel: 


fe80: :a00:27ff: fese: 8aa8/64 


Adresa de mai sus are 64 de biți pentru id-ul gazdă, în mod teoretic permițînd 4 
miliarde ori patru miliarde de nume de maşini. 


Adresa localhost arată astfel cu cidr: 
::1/128 
18.3. generare parte nume de maşină 


Părțile numelor de maşini a unei adrese ipv6 automatic generată (stateless) 
conține partea adresei numelor de maşini mac: 
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pauledebian5:-$ /sbin/ifconfig | head -3 

eth3 Link encap:Ethernet HWaddr 08:00:27:ab:67:30 
inet addr:192.168.1.29 Bcast:192.168.1.255 Mask:255.255.255.0 
inet6 addr: fe80::a00:27ff:feab:6730/64 Scope:Link 


Unii oameni sînt preocupați de securitate aici.. 
18.4. adresă ipv4 mapată ipv6 
Unele aplicații folosesc adrese ipv4 înglobate într-o adresă ipv6. (Da, va fio 


eră a migrației cu ambele ipv4 şi ipv6 în folosire). Adresa ipv6 atunci arată ca 
aceasta: 


::ffff:192.168.1.42/96 

într-adevăr un mix de caractere decimale şi hexadecimale.. 

18.5. adrese link local 

Adresele ipv6 care încep cu fe8. pot fi utilizate numai pe segmenul local 
(înlocuiți punctul cu un număr hexadecimal). Acesta e motivul pentru care vedeţi 


Scope:Link în adresă în această captură de ecran. Această adresă deserveşte doar 
link-ul local. 


pauledeb503:-$ /sbin/ifconfig | grep inet6 
inet6 addr: fe80::a00:27ff:fe8e:8aa8/64 Scope:Link 
inet6 addr: ::1/128 Scope:Host 


Aceste adrese link local încep toate cu fe8.. 

Fiecare nic activat ipv6 va lua o adresă în acestă rază de acțiune. 

18.6. adrese unice locale 

De-acum învechitele sisteme de adrese site local similare cu razele de acțiune 
private ipv4 sînt înlocuite cu un sistem de adrese ipv6 globale unice locale. 
Asta pentru a preveni duplicatele cînd se unesc rețele în interiorul razelor de 
acțiune site local. 

Toate adresele unice locale încep cu fd... 


18.7. adrese unicast unice global 


De vreme ce ipv6 a fost proiectat să aibă adrese ip multiple per interfaţă, 
adresa ipv6 globală poate fi folosită lîngă adresa link local. 


Aceste adrese unice globale încep toate cu 2... sau 3... ca primi 16 biţi. 
18.8. 6to4 


6to4 este definit în rfc-urile 2893 şi 3056 ca o modalitate posibilă pentru a 
face tranziția între ipv4 şi ipv6 creînd un tunel ipvâ. 


El codează o adresă ipv4 la o adresă ipv6 care începe cu 2002. De exemplu 
192.168.1.42/24 va fi codat ca: 


2002:c0a8:12a:18::1 


Puteți folosi comanda de mai jos pentru a converti orice adresă ipv4 în această 
rază de acțiune. 
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paulubu1010:-$ printf "12002:9%02x%02x:%02xX%02x:%04x: :1|n"' "echo | 
192.168.1.42/24 tr If AU DAL. Pb 
2002 :c0a8:012a:0018::1 


18.9. ISP 


Dacă ați fi aşa de norocoşi să obţineţi o adresă ipv6 de la ofertantul de 
servicii internet [isp], atunci ea va începe cu 2001:. 


18.10. adrese non rutabile 


Comparabil cu example.com pentru DNS, următoarele raze de acțiune adresă ipv6 
sînt rezervate exemplelor, şi nu sînt rutabile pe internet. 


3FFILTETE44/32 
2001:0db8::/32 


18.11. ping6 


Folosiţi ping6 pentru a testa conectivitatea între nume de maşini ipv6. Trebuie 
să specificaţi interfața (nu există nici un tabel pentru adresele 'random' 
generate ipv6 link local). 


[rootefedorala -]4 ping6 -I etho fe80::a00:27ff:fecd:7ffc 

PING fe80::a00:27ff:fecd: 7ffc(fe80::a00:27ff:fecd:7ffc) from 

fe80: :a00:27ff:fe3c:4346 et 

64 bytes from fe80::a00:27ff:fecd:7ffc: icmp_seqg=1 ttl=64 time=0.586 ms 
64 bytes from fe80::a00:27ff:fecd:7ffc: icmp_seq=2 ttl=64 t'ime=3.95 ms 
64 bytes from fe80::a00:27ff:fecd:7ffc: icmp_seq=3 ttl=64 t'ime=1.53 ms 


Mai jos este un ping6 multicast care primeşte răspunsuri de la trei nume de 
maşini ip6 pe aceeaşi rețea. 


[rootefedoral4 -]+ ping6 -I etho ffo2::1 

PING ff02::1(ff02::1) from fe80::a00:27ff:fe3c:4346 etho: 56 data bytes 

64 bytes from fe80::a00:27ff:fe3c:4346: icmp_seq=1 ttl=64 time=0.598 ms 

64 bytes from fe80::a00:27ff:fecd:7ffc: icmp_seg=1 ttl=64 time=1.87 ms (DUP!) 

64 bytes from fe80::8e7b:9dff:fed6:dff2: icmp_seq=1l ttl=64 time=535 ms (DUP!) 

64 bytes from fe80::a00:27ff:fe3c:4346: icmp_seq=2 ttl=64 time=0.106 ms 

64 bytes from fe80::8e7b:9dff:fed6:dff2: icmp_seq=2 ttl=64 time=1.79 ms (DUP!) 
64 bytes from fe80::a00:27ff:fecd:7ffc: icmp_seq=2 ttl=64 time=2.48 ms (DUP!) 


18.12. Belgia şi ipv6 


O multitudine de informații despre ipv6 în Belgia poate fi găsită la 
www . ipv6council.be. 


Site-uri ca ipv6.belgium.be, www.bipt.be şi wwmw.bricozone.be sînt activate 
pentru ipv6. De asemeni unele Universități: fundp.ac.be (Namur) şi ulg.ac.be 
(Liege). 

18.13. alte website-uri 


Alte website-uri folositoare pentru testare ipv6 sînt: 


test-ipv6.com 
ipv6-test. com 
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Vizitînd website-ul ipv6-test.com va verifica dacă aveți o adresă ipv6 valid 
accesibilă. 


Your internet connection is 1Pv6 capable 


2002:51a5:657d::1 


Telenet 


Address type is 
Gto4 


6to4 mapping to IPv4 address 81.165.101.125 


Your internet connection is 1Pv4 capable 


81.165.101.125 


d51A5657D.access.telenet.be 


Vizitînd website-ul test-ipv6.com va verifica de asemeni dacă aveți o adresă 
ipv6 valid accesibilă. 


Test your IPv6 connectivity. 


Summary | Tests Run | | Technical Info | | Share a a 


Take Screenshot (=) | 


| Take Screenshot | 


18.14. 


(i) Your IPv4 address on the public 


da (& Grab the whole desktop 
ls) O Grab the current window 


Select area to grab 


Your IPv6 address on the public 
Your IPv6 service appears to be: 


(v) World IPv6 day is June 8th, 2011 owser, at this location. [more info] 


Grab after a delay of lo [3 seconds 


Congratulations! You appear to have both IPv4 and IPv6 Internet working. If a publisher publishes to IPv6, your browser will 
connect using IPv6. Note: Your browser appears to prefer IPv4 over IPv6 when given the choice. This may in the future affect 
the accuracy of sites who guess at your location, 


You appear to be using a public 6to4 gateway; your router may be providing this to you automatically. Such public gateways 
have no service level agreements; you may see performance problems using such. Better would be to get a native IPv6 address 
from your ISP. [more infol 


Your DNS server (possibly run by your ISP) appears to have no access to the IPv6 Internet, or is not configured to use it. This 


may in the future restrict your ability to reach IPv6-only sites. [more info] N 
Your readiness scores 


7/1 (9) for your IPv4 stability and readiness, when publishers offer both IPv4 and IPv6 


7/1 (9) for your IPv6 stability and readiness, when publishers are forced to go IPv6 only 


Click to see test data 


6to4 gateway 


Pentru a accesa doar website-uri ipv4 cînd sînteți pe ipv6 puteţi folosi 
sixxs.net (mai exact http://wmw.sixxs.net/tools/gateway/) ca gateway. 


De exemplu folosiți http://wmw.slashdot.org.sixxs.org/ în loc de 
http://slashdot.org 
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18.15. ping6 şi dns 


Mai jos este un screenshot a unui ping6 din spatele unei conexiuni 6to04. 


2002:51a5:657d::1 2001:41d0:2:67d1::7e57:1 ICMPv6 Echo request 
2001:41d0:2:67d1::7e57:1 2002:51a5:657d::1 ICMPv6 Echo reply 
2002:51a5:657d::1 2001:41d0:2:67d1::7e57:1 ICMPv6 Echo request 
2001:41d0:2:67d1::7e57:1 2002:51a5:657d::1 ICMPv6 Echo reply 


18.16. ipv6 şi tcp/http 


Mai jos este o captură de ecran a unui tcp handshake şi o conexiune http 
deasupra ipv6. 


Source Destination Protocol Info 


18.17. înregistrare ipv6 PTR 


Precum s-a văzut în capitolul DNS, înregistrările ipv6 PTR sînt în domeniul 
ip6.net, şi au 32 generații de domenii child. 


» Frame 46 (132 bytes on wire, 132 bytes captured) 
) Ethernet II, Src: Apple 5d:2e:52 (00:26:bb:5d:2e:52), Dst: Riverdel cf:6a:10 (009:30:b8:cf:6a:10) 
) Internet Protocol, Src: 81.165.101.125 (81.165.101.125), Dst: 195.130.131.4 (195.130.131.4) 
) User Datagram Protocol, Src Port: 34361 (34361), Dst Port: domain (53) 
* Domain Name System (query) 
[Response In: 47] 
Transaction ID: Oxcfe3 
) Flags: 0x0100 (Standard query) 
Questions: 1 
Answer RRs: 0 
Authority RRs: 0 
Additional RRs: 0 
x Queries 
Pb 1.0.0.0.7.5.e.7.0.0.0.0.0.0.0.0.1.d.7.6.2.0.0.0.0.d.1.4.1.0.0.2.ip6.arpa: type PTR, class IN 


18.18. setare 6to4 pe Linux 
Mai jos este un transcript a unei setări 6to4 pe Linux. 


Mulţumiri http://wwmw.anyweb.co.nz/tutorial/v6Linux6to4 şi http:// 
mirrors.bieringer.de/Linux+IPv6-HOWTO/ şi tldp.org! 
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rootâmac:-t ifconfig 

etho Link encap:Ethernet HWaddr 00:26:bb:5d:2e:52 
inet addr:81.165.101.125 Bcast:255,255.255.255 Mask:255,255.248.0 
inet6 addr: fe80::226:bbff:fe5d:2e52/64 Scope:Link 
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 
RX packets:5926044 errors:0 dropped:0 overruns:0 frame:0 
TX packets:2985892 errors:0 dropped:0 overruns:0 carrier:0 
collisions:0 txqueuelen:1000 
RX bytes:4274849823 (4.2 GB) TX bytes:237002019 (237.0 MB) 
Interrupt:43 Base address:0x8000 

lo Link encap:Local Loopback 
inet addr:127.0.0.1 Mask:255.0.0.0 
inet6 addr: ::1/128 Scope:Host 
UP LOOPBACK RUNNING MTU:16436 Metric:1 
RX packets:598 errors:0 dropped:0 overruns:0 frame:0 
TX packets:598 errors:0 dropped:0 overruns:0 carrier:0 
collisions:0 txqueuelen:0 
RX bytes:61737 (61.7 KB) TX bytes:61737 (61.7 KB) 


rootemac:-t sysctl -w net.ipv6.conf.default. forwarding=1 
net.ipv6.conf.default.forwarding = 1 
rootemac:-t ip tunnel add tun6to4 mode sit remote any local 81.165.101.125 
rootâmac:-t ip link set dev tun6to4 mtu 1472 up 
rootemac:-t ip link show dev tun6to4 
10: tun6to4: <NOARP,UP,LOWER_UP> mtu 1472 qdisc noqueue state UNKNOWN 
link/sit 81.165.101.125 brd 0.0.0.0 
rootemac:-t ip -6 addr add dev tun6to4 2002:51a5:657d:0::1/64 
rootemac:-+ ip -6 addr add dev etho 2002:51a5:657d:1::1/64 
rootâmac:-+ ip -6 addr add dev etho fdcb:43c1:9c18:1::1/64 
rootemac:-t ifconfig 
etho Link encap:Ethernet HWaddr 00:26:bb:5d:2e:52 
inet addr:81.165.101.125 Bcast:255.255.255.255 Mask:255.255.248.0 
inet6 addr: fe80::226:bbff:fe5d:2e52/64 Scope:Link 
inet6 addr: fdcb:43c1:9c18:1::1/64 Scope:Global 
inet6 addr: 2002:51a5:657d:1::1/64 Scope:Global 
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 
RX packets:5927436 errors:0 dropped:0 overruns:0 frame:0 
TX packets:2986025 errors:0 dropped:0 overruns:0 carrier:0 
collisions:0 txqueuelen:1000 
RX bytes:4274948430 (4.2 GB) TX bytes:237014619 (237.0 MB) 
Interrupt:43 Base address:0x8000 


lo Link encap:Local Loopback 
inet addr:127.0.0.1 Mask:255.0.0.0 
inet6 addr: ::1/128 Scope:Host 
UP LOOPBACK RUNNING MTU:16436 Metric:1 
RX packets:598 errors:0 dropped:0 overruns:0 frame:0 
TX packets:598 errors:0 dropped:0 overruns:0 carrier:0 
collisions:0 txqueuelen:0 
RX bytes:61737 (61.7 KB) TX bytes:61737 (61.7 KB) 


tun6to4 Link encap:IPv6-in-IPv4 
inet6 addr: ::81.165.101.125/128 Scope:Compat 
inet6 addr: 2002:51a5:657d::1/64 Scope:Global 
UP RUNNING NOARP MTU:1472 Metric:1 
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RX packets:0 errors:0 dropped:0 overruns:0 frame:0 
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 
collisions:0 txqueuelen:0 

RX bytes:0 (0.0 B) TX bytes:0 (0.0 B) 


rootemac:-t+ ip -6 route add 2002::/16 dev tun6to4 

rootemac:-t ip -6 route add ::/0 via ::192.88.99.1 dev tun6to4 metric 1 
rootemac:-t ip -6 route show 

::/96 via :: dev tunâto4 metric 256 mtu 1472 advmss 1412 hoplimit 0 
2002:51a5:657d::/64 dev tun6to4 proto kernel metric 256 mtu 1472 advmss 1412 
hoplimit 

2002:51a5:657d:1::/64 dev etho proto kernel metric 256 mtu 1500 advmss 1440 
hoplimit 

2002::/16 dev tun6to4 metric 1024 mtu 1472 advmss 1412 hoplimit 0 
fdcb:43c1:9c18:1::/64 dev etho proto kernel metric 256 mtu 1500 advmss 1440 
hoplimit 

fe80::/64 dev etho proto kernel metric 256 mtu 1500 advmss 1440 hoplimit 0 
fe80::/64 dev tunâto4 proto kernel metric 256 mtu 1472 advmss 1412 hoplimit 0 
default via ::192.88.99.1 dev tun6to4 metric 1 mtu 1472 advmss 1412 hoplimit 0 
rootâmac:-t ping6 ipv6-test.com 

PING ipv6-test.com(ipv6-test.com) 56 data bytes 


64 bytes from ipv6-test.com: icmp_seg=1 ttl=57 time=42.4 ms 
64 bytes from ipv6-test.com: icmp_seg=2 ttl=57 time=43.0 ms 
64 bytes from ipv6-test.com: icmp_seqg=3 ttl=57 time=43.5 ms 
64 bytes from ipv6-test.com: icmp_seg=4 ttl=57 time=43.9 ms 
64 bytes from ipv6-test.com: icmp_seg=5 ttl=57 time=45.6 ms 


AC 

--- ipv6-test.com ping statistics --- 

5 packets transmitted, 5 received, 0% packet loss, time 4006ms 
rtt min/avg/max/mdev = 42.485/43.717/45.632/1.091 ms 
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Partea VII. baze de date mysql 
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Capitolul 19. introducere la sql folosind mysql 


Conţinut 

19,1... instalare mysql: se ss e a eo e ca ti e ae it 0 8 a a a HB2 
19.2 accesare mysql, .. i se e e a e m ae e ma ia a ÎD2 
19.3. baze de date mysql. . . . . . ca AB4 
19.4. tabele mysql. . . . . a 155 
19.5. înregistrări mysql. . . ca 157 
19.6. unire a două tabele. . . . . ca 161 
19.7. declanşatori mysql. . . . a „162 


mysql este un server de bază de date care înțelege Structured Query Language 
(SQL) (Limbaj Interogativ Structurat). MySQL a fost dezvoltat de către compania 
suedeză MySQL AB. Prima lansare a fost în 1995. În 2008 MySQL AB a fost 
cumpărată de Sun Microsystems (care acum este deținută de Oracle). 


mysql este foarte popular pentru site-uri web în combinație cu php şi apache 
(litera m în serverele lamp), dar mysql este de asemeni folosit în organizații 
cu date de baze imense ca Facebook, Flickr, Google, Nokia, Wikipedia şi Youtube. 


Acest capitol vă va învăţa sql creînd şi folosind baze de date mici, tabele, 
interogări, şi un simplu declanşator în serverul local mysql. 
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19.1. instalare mysql 


Pe Debian/Ubuntu puteți folosi aptitude install mysql-server pentru a instala 
serverul şi clientul mysql. 


rootâubul204-+ aptitude install mysqgl-server 

The following NEW packages will be installed: 

libdbd-mysqgl-perl(a) libdbi-perlţa) libhtml-template-perl(a) 
libnet-daemon-perlţa) libplrpc-perl(a?Y mysql-client-5.5(a) 
mysql-client-core-5.5(a) mysql-server mysql-server-5.5(a) 
mysql-server-core-5.5(a) 

O packages upgraded, 10 newly installed, 0 to remove and 1 not upgraded. 
Need to get 25.5 MB of archives. After unpacking 88.4 MB will be used. 
Do you want to continue? [Y/n/?] 


în timpul instalării vă va fi cerut să dați o parolă pentru utilizatorul root 
mysql, ţineţi minte această parolă (sau folosiți hunter2 cum facem noi). 


Pentru a verifica versiunea instalată, folosiți dpkg -l pe Debian/uUbuntu. 
Această captură de ecran arată versiunea 5.0 instalată. 


rootâubul204-4 dpkg -l mysql-server | tail -1 | tr -s ! ! | cut -c-72 
ii mysql-server 5.5.24-0ubuntu0.12.04.1 MySQL database server (metapackage) 


Tastaţți rpm -q pentru a obține informație despre versiunea MySQL pe Red 
Hat /Fedora/Centos. 


[pauleRHEL52 =]$ rpm -q mysql-server 
mysql-server-5.0.45-7.e15 


Trebuie să aveți cel puțin versiunea 5.0 pentru a lucra cu declanşatori. 
19.2. accesare mysql 
utilizatori Linux 


Instalarea mysql crează un cont de utilizator în /etc/passwd şi un cont grup în 
/etc/group. 


kevinQubul204:-$ tail -1 /etc/passwd 
mysql:x:120:131:MySQL Server,,,:/nonexistent: /bin/false 
kevinGubul204:-$ tail -1 /etc/group 

mysql:x:131: 


Daemonul mysql mysqld se va executa cu acreditările acestui utilizator şi grup. 


rootâubul204-4 ps -eo uid,user,gid,group,comm | grep mysqld 
120 mysql 131 mysql mysqld 


aplicaţia client mysql 
Puteți acum folosi mysql din linia de comandă tastînd doar mysql -u root -p şi 


vi se va solicita parola (contului de mysql root). în captura de ecran de mai 
jos utilizatorul a tastat exit pentru a ieşi din consola mysql. 
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rootQubul204-+ mysql -u root -p 

Enter password: 

Welcome to the MySQL monitor. Commands end with ; or vg. 
Your MySQL connection id is 43 

Server version: 5.5.24-0ubuntu0.12.04.1 (Ubuntu) 


Copyright (c) 2000, 2011, Oracle and/or its affiliates. All rights reserved. 


Oracle is a registered trademark of Oracle Corporation and/or its 
affiliates. Other names may be trademarks of their respective 
owners. 


Type 'help;! or !'1|h' for help. Type '|c! to clear the current input statement. 


mysql> exit 
Bye 


Puteți de asemeni să puneţi parola în text clar pe linia de comandă, dar asta nu 
ar fi foarte securizat. Oricine cu acces la istoria bash ar putea fi capabil să 
citească parola root mysql. 


rootQubul204-+ mysql -u root -phunter2 
Welcome to the MySQL monitor. Commands end with ; or |g. 


-/ .my.cenf 


Puteți salva configurația în directorul home în fişierul ascuns .my.cenf. în 
captura de ecran de mai jos punem utilizatorul şi parola root în my.cnf. 


kevineubul204:-$ pwd 
/home/kevin 

kevineubul204:-ș$ cat .my.cnf 
[client] 

user=root 

password=hunter2 
kevinQubu1204:-$ 


Asta ne permite să intrăm în sistem ca utilizatorul root mysql doar tastînd 
mysql. 


kevinQubu1l204:-$ mysql 

Welcome to the MySQL monitor. Commands end with ; or g. 
Your MySQL connection id is 56 

Server version: 5.5.24-0ubuntu0.12.04.1 (Ubuntu) 


linia de comandă client mysql 


Puteți folosi comanda mysql pentru a vă uita la bazele de date, şi pentru a 
executa interogări SQL pe ele. Această captură de ecran de mai jos arată cum. 


Aici executăm comanda show databases. Fiecare comandă trebuie să se termine cu 
un delimitator. Delimitatorul default este ; (punct şi virgulă). 
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mysql> show databases; 


information_schema 
mysql 
performance_schema 
test 


4 rows in set (0.00 sec) 

Vom folosi acest prompt în următoarele secțiuni. 

19.3. baze de date mysql 

listarea tuturor bazelor de date 

Puteți folosi comanda mysql pentru a vă uita la bazele de date, şi pentru a 
executa interogări SQL asupra lor. Captura de ecran de mai jos arată cum. Mai 


întîi, intrăm în sistem în serverul nostru MySQL şi executăm comanda show 
databases pentru a vedea ce baze de date există pe serverul nostru mysql. 


kevinQubu1l204:-$ mysql 

Welcome to the MySQL monitor. Commands end with ; or g. 
Your MySQL connection id is 57 

Server version: 5.5.24-0ubuntu0.12.04.1 (Ubuntu) 


Copyright (c) 2000, 2011, Oracle and/or its affiliates. All rights reserved. 
Oracle is a registered trademark of Oracle Corporation and/or its 
affiliates. Other names may be trademarks of their respective 

owners. 


Type 'help;! or !'1|h' for help. Type '|c! to clear the current input statement. 


mysql> show databases; 


information_schema 
mysql 
performance_schema 
test 


4 rows in set (0.00 sec) 
crearea unei baze de date 


Puteți crea o nouă bază de date cu comanda create database. 
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mysql> create database famouspeople; 
Query OK, 1 row affected (0.00 sec) 


mysql> show databases; 


po... + 
| Database | 
pa . + 
| înformation_schema | 
| famouspeople | 
| mysql | 
| performance_schema | 
| test | 
po... + 


5 rows in set (0.00 sec) 
utilizarea unei baze de date 
în pasul următor îi cerem mysql să folosească o anumită bază de date cu comanda 


use $database. Această captură de ecran arată cum să facem wikidb baza de date 
curentă (în folosire). 


mysql> use famouspeople; 
Database changed 
mysql> 


acces la o bază de date 


Pentru a acorda cuiva acces la o bază de date mysql, folosiți comanda grant. 


mysql> grant all on famouspeople.x to kevinelocalhost IDENTIFIED BY "'hunter2"; 
Query OK, 0 rows affected (0.00 sec) 


ştergerea unei baze de date 


Cînd o bază de date nu mai este necesară, puteţi să o ştergeţi permanent cu 
comanda drop database. 


mysql> drop database demodb; 
Query OK, 1 row affected (0.09 sec) 


restaurare şi backup a unei baze de date 
Puteţi face un backup unei baze de date, sau să o mutați pe un alt computer 
folosind comenzile mysql şi mysqldump. în captura de ecran de mai jos, facem un 


backup a bazei de date wikidb pe computerul numit laika. 


mysqldump -u root famouspeople > famouspeople.backup.20120708.saql 


Aici este un screenshot a unei operaţii de restaurare a unei baze de date din 
acest backup. 


mysql -u root famouspeople < famouspeople.backup.20120708.sql 
19.4. tabele mysql 
listarea tabelelor 


Puteți vedea o listă a tabelelor în baza de date curentă cu comanda show tables; 
Baza noastră de date famouspeople încă nu are tabele încă. 
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mysql> use famouspeople; 
Database changed 

mysql> show tables; 
Empty set (0.00 sec) 


crearea unui tabel 
Comanda create table va crea un nou tabel. 


Această captură de ecran arată crearea unui tabel de ţări. Folosim countrycode 
ca primary key (toate codurile țărilor sînt definite în mod unic). Cele mai 
multe coduri de țări au două sau trei litere, astfel un char de trei foloseşte 
mai puțin spațiu decît un varchar de trei. Numele țării şi numele capitalei sînt 
amîndouă definite ca varchar. Populația poate fi văzută ca un integer. 


mysql> create table country ( 

-> countrycode char(3) NOT NULL, 

-> countryname varchar(70) NOT NULL, 
-> population int, 

-> countrycapital varchar(50), 

-> primary key (countrycode) 

= da 

Query OK, 0 rows affected (0.19 sec) 


mysql> show tables; 


po... + 
| Tables_in_famouspeople | 
po + 
| country | 
po + 


1 row “in set (0.00 sec) 
mysql> 
Vă este permis să tastați comanda create table pe o linie lungă, dar 


administratorii deseori folosesc linii multiple pentru a îmbunătăţi 
lizibilitatea. 


mysql> create table country ( countrycode char(3) NOT NULL, countryname) 
varchar(70) NOT NULL, population int, countrycapital varchar(50), primi 
ary key (countrycode) ); 

Query OK, 0 rows affected (0.18 sec) 


descrierea unui tabel 


Pentru a vedea o descriere a structurii unui tabel, tastați comanda describe 
$tablename cum este arătat mai jos. 
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mysql> describe country; 


pa pa += += pa += + 
| Field | Type | NuLL | Key | Default | Extra | 
pa pa pa += pa pp + 
| countrycode | char(3) | NO | PRI | NULL | 
| countryname | varchar(70) | NO | | NULL | 
| population | înt(11) | YES | | NULL | 
| countrycapital | varchar(50) | YES | | NULL | 
pa pa += += pa += + 


4 rows in set (0.00 sec) 
ştergerea unui tabel 


Pentru a şterge un tabel din baza de date, tastați comanda drop table $tablename 
cum este arătat mai jos. 


mysql> drop table country; 
Query OK, 0 rows affected (0.00 sec) 


19.5. înregistrări mysql 
creare înregistrări 
Folosiţi insert pentru a introduce date în tabel. Captura de ecran arată cîteva 


declarații inserție care inserează valori depinzînd de poziţia datelor în 
declarație. 


mysql> insert into country values ('BE','Belgium','11000000','Brussels!); 
Query OK, 1 row affected (0.05 sec) 


mysql> insert into country values ('DE','Germany','82000000','Berlin'); 
Query OK, 1 row affected (0.05 sec) 


mysql> insert into country values ('JP','Japan','128000000','Tokyo'); 
Query OK, 1 row affected (0.05 sec) 


Unii administartori preferă să utilizeze litere mari pentru cuvintele-cheie sql. 
Clientul mysql le acceptă pe amîndouă. 

mysql> INSERT INTO country VALUES ('FR','France','64000000','Paris!); 

Query OK, 1 row affected (0.00 sec) 


Notați că primiţi o eroare dacă folosiți o cheie primară duplicat. 


mysql> insert into country values ('DE','Germany','82000000','Berlin'); 
ERROR 1062 (23000): Duplicate entry 'DE' for key "'PRIMARY' 


vizualizarea tuturor înregistrărilor 


Mai jos este un exemplu a unei simple interogări select pentru a vedea 
conținutul unui tabel. 
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mysql> select * from country; 


pa pa pa pa  _ _ + 
| countrycode | countryname | population | countrycapital | 
pa pa pa pa + 
| BE | Belgium | 11000000 | Brussels 

| CN | China | 1400000000 | Beijing 

| DE | Germany | 82000000 | Berlin 

| FR | France | 64000000 | Paris 

| IN | India | 1300000000 | New Delhi 

| IP | Japan | 1280000000 | Tokyo 

| MX | Mexico | 1130000000 | Mexico City 

| US | United States |  313000000 | Washington 
pa pa pa pa + 


8 rows in set (0.00 sec) 
actualizare înregistrări 


Luaţi în considerare următoarea declarație insert. Capitala Spaniei nu este 
Barcelona, este Madrid. 


mysql> insert into country values ('ES','Spain','48000000','Barcelona'); 
Query OK, 1 row affected (0.08 sec) 


Folosind o declarație update, înregistrarea poate fi actualizată. 

mysql> update country set countrycapital='Madrid' where countrycode='ES!; 
Query OK, 1 row affected (0.07 sec) 

Rows matched: 1 Changed: 1 Warnings: 0 


Putem folosi o declarație select pentru a verifica această schimbare. 


mysql> select * from country; 


pa pa pa pa + 
| countrycode | countryname | population | countrycapital | 
pa pa pa pa _ _ + 
| BE | Belgium | 11000000 | Brussels 

| CN | China | 1400000000 | Beijing 

| DE | Germany | 82000000 | Berlin 

| ES | Spain | 48000000 | Madrid | 
| FR | France | 64000000 | Paris 

| IN | India | 1300000000 | New Delhi 

| IP | Japan | 1280000000 | Tokyo 

| MX | Mexico | 1130900000 | Mexico City 

| US | United States |  313000000 | Washington 
pa pa pa pa + 


9 rows in set (0.00 sec) 
vederea înregistrărilor select 


Folosind o clauză where într-o declarație select, puteți specifica care 
înregistrare (înregistrări) doriți să o vedeţi. 
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mysql> SELECT * FROM country WHERE countrycode='ES!; 


pa pa pa pa + 
| countrycode | countryname | population | countrycapital | 
pa pa pa pa + 
| Es | Spain | 48000000 | Madrid | 
pa pa pa ____ pa + 
1 row “in set (0.00 sec) 

Un alt exemplu de clauză where. 

mysql> select * from country where countryname='Spain'; 
pa pa pa pa + 
| countrycode | countryname | population | countrycapital | 
pa pa pa ___ pa + 
| ES | Spain | 48000000 | Madrid | 
pa pa pa pa + 


1 row “in set (0.00 sec) 
cheie primară în clauza where? 
cheia primară a unui tabel este un cîmp care identifică în mod unic fiecare 


înregistrare (fiecare rînd) într-un tabel. Cînd utilizăm un alt cîmp în clauza 
where, este posibil să primim mai multe rînduri. 


mysql> insert into country values ('EG','Egypt','82000000','Cairo!'); 
Query OK, 1 row affected (0.33 sec) 


mysql> select * from country where population='82000000'; 


pa pa pa pa + 
| countrycode | countryname | population | countrycapital | 
pa pa pa pa + 
| DE | Germany | 82000000 | Berlin 
| EG | Egypt | 82000000 | Cairo 
pa pa pa pa _ ._ + 


2 rows in set (0.00 sec) 
comandare înregistrări 


Ştim că select ne permite să vedem toate înregistrările într-un tabel. Luaţi în 
considerare acest tabel. 


mysql> select countryname,population from country; 


pa pa + 
| countryname | population | 
pa pa + 
| Belgium | 11000000 | 
| China | 1400000000 | 
| Germany | 82000000 | 
| Egypt | 82000000 | 
| Spain | 48000000 | 
| France | 64000000 | 
| India | 1300000000 | 
| Japan | 1280000000 | 
| Mexico | 1130900000 | 
| United States | 3130000000 | 
pa pa + 
10 rows in set (0.00 sec) 
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Folosind clauza order by, putem schimba ordinea în care înregistrările sînt 
prezentate. 


mysql> select countryname,population from country order by countryname; 


| countryname | population | 
pa pa + 
| Belgium | 11000000 | 
| China | 1400000000 | 
| Egypt | 82000000 | 
| France | 64000000 | 
| Germany | 82000000 | 
| India | 1300000000 | 
| Japan | 1280000600 | 
| Mexico | 1130900000 | 
| Spain | 48000000 | 
| United States | 3130000006 | 
pa pa + 


10 rows in set (0.00 sec) 
grupare înregistrări 


Luaţi în considerare acest tabel cu oameni. Captura de ecran arată cum să 
utilizăm funcția avg pentru a calcula o medie. 


mysql> select x from people; 


pa pa pa pa + 
| Name | Field | birthyear | countrycode | 
pa pa pa pa | 
| Barack Obama | politics | 1961 | US 
| Deng Xiaoping | politics | 1904 | CN 
| Guy Verhofstadt | politics | 1953 | BE | 
| Justine Henin | tennis | 1982 | BE | 
| Kim Clijsters | tennis | 1983 | BE 
| Li Na | tennis | 1982 | CN 
| Liu Yang | astronaut | 1978 | CN 
| Serena Williams | tennis | 1981 | US | 
| Venus Williams | tennis | 1980 | US | 
por pa pa + 


9 rows in set (0.00 sec) 


mysql> select Field,AVG(birthyear) from people; 


pp po... + 
| Field | AVG(birthyear) | 
pp po. + 
| politics | 1967.111111111111 | 
pp po... + 


1 row “in set (0.00 sec) 


Folosind clauza group by, putem avea o medie per cîmp. 
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mysql> select Field,AVG(birthyear) from people group by Field; 


pa po... + 
| Field |AVG(birthyear) | 
pa pa... + 
| astronaut | 1978 | 
| politics | 1939.3333333333333 | 
| tennis | 1981.6| 
pa po + 


3 rows in set (0.00 sec) 
ştergere înregistrări 
Puteţi folosi delete pentru a şterge permanent o înregistrare dintr-un tabel. 


mysql> delete from country where countryname="'Spain!; 
Query OK, 1 row affected (0.06 sec) 


mysql> select * from country where countryname='Spain'; 
Empty set (0.00 sec) 


19.6. unire a două tabele 
inner join 
Cu un inner join puteţi lua valori din două tabele şi să le combinaţii într-un 


singur rezultat. Luaţi în considerare tabelele țărilor şi a oamenilor din 
secţiunea precedentă cînd vă uitaţi la acest screenshot a unui inner join. 


mysql> select Name,Field,countryname 
-> from country 
-> înner join people on people.countrycode=country.countrycode; 


pa pa pa + 
| Name | Field | countryname | 
pa pp pa + 
| Barack Obama | politics | United States | 
| Deng Xiaoping | politics | China | 
| Guy Verhofstadt | politics | Belgium | 
| Justine Henin | tennis | Belgium | 
| Kim Clijsters | tennis | Belgium | 
| Li Na | tennis | China 

| Liu Yang | astronaut | China 

| Serena Williams | tennis | United States | 
| Venus Williams | tennis | United States | 
por pa + 


9 rows in set (0.00 sec) 


Acest inner join va afişa doar înregistrări cu un corespondent pe countrycode în 
ambele tabele. 


left join 


Un left join este diferit de un inner join: va lua toate rîndurile din tabelul 
din stînga, neavînd importanţă o potrivire în tabelul din dreapta. 
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mysql> select Name,Field,countryname from country left join people on 
people.countrycode 


pa pa pa + 
| Name | Field | countryname | 
pa pa pa + 
| Guy Verhofstadt | politics | Belgium | 
| Justine Henin | tennis | Belgium | 
| Kim Clijsters | tennis | Belgium | 
| Deng Xiaoping | politics | China | 
| Li Na | tennis | China 

| Liu Yang | astronaut | China 

| NULL | NULL | Germany 

| NULL | NULL | Egypt | 
| NULL | NULL | Spain | 
| NULL | NULL | France 

| NULL | NULL | India | 
| NULL | NULL | Japan 

| NULL | NULL | Mexico | 
| Barack Obama | politics | United States | 
| Serena Williams | tennis | United States | 
| Venus Williams | tennis | United States | 
pa pa pa + 


16 rows in set (0.00 sec) 


Puteți vedea că unele ţări sînt prezente, chiar dacă nu au înregistrări care să 
se potrivească în tabelul people. 


19.7. declanşatori mysql 
folosirea unui before trigger 


Luaţi în considerare următoarea comandă create table. Ultimul cîmp (amount) este 
multiplicarea celor două cîmpuri numite unitprice şi unitcount. 


mysql> create table invoices ( 
-> id char(8) NOT NULL, 
-> customerid char(3) NOT NULL, 
-> unitprice int, 
-> unitcount smallint, 
-> amount int ); 
Query OK, 0 rows affected (0.00 sec) 


Putem lăsa mysql să facă calcularea pentru asta folosind un before trigger. 


Captura de ecran de mai jos arată crearea unui declanşator care calculează suma 
(amount) înmulțind două câmpuri care sînt pe cale să fie inserate. 


mysql> create trigger total_amount before INSERT on invoices 
-> for each row set new.amount = new.unitprice x new.unitcount ; 
Query OK, 0 rows affected (0.02 sec) 


Aici verificăm dacă declanşatorul funcționează inserînd o nouă înregistrare, 
fără a da suma totală. 


mysql> insert into invoices values ('20090526','ABC!','199','10!',!!); 
Query OK, 1 row affected (0.02 sec) 


Privind la înregistrare demonstrează că declanşatorul funcționează. 
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mysql> select * from invoices; 


pa pa pa pa pa + 
| id | customerid | unitprice | unitcount | amount | 
pa pa pa pa pa + 
| 20090526 | ABC | 199 | 10 | 1990 | 
pa pa pa pa pa + 


1 row “in set (0.00 sec) 


ştergerea unui declanşator 


Cînd un declanşator nu mai este necesar, puteți să-l ştergeţi cu comanda drop 
trigger. 


mysql> drop trigger total_amount; 
Query OK, 0 rows affected (0.00 sec) 
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Partea VIII. selinux 
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20.1. despre selinux 


Security Enhanced Linux sau SELinux (Securitate Linux Îmbunătățită) este un set 
de modificări dezvoltate de Agenția Naţională a Securității Statelor Unite (NSA) 
pentru a da o varietate de politici de securitate pentru Linux. SELinux a fost 
dat în folosire ca sursă deschisă la sfîrşitul anului 2000. De la versiunea 
kernel 2.6 este o parte integrată a Linux-ului. 


SELinux oferă securitate! SELinux poate controla ce tip de acces au utilizatorii 
la fişiere şi procese. Chiar cînd un fişier a primit chmod 777, SELinux poate în 
continuare să împiedice utilizatorii să îl acceseze (permisiunile fişier Unix 
sînt verificate mai întîi!). SELinux face asta plasînd utilizatorii în roluri 
care reprezintă un context de securitate. Administratorii pot avea control 
foarte strict asupra permisiunilor de acces garantate rolurilor. 


SELinux este prezent în ultimele versiuni a Red Hat Enterprise Linux, Debian, 
Fedora, Ubuntu, Yellow Dog Linux, şi Hardened Gentoo. Există în mod curent 
(2008) suport limitat în SuSE şi Slackware. 


20.2. moduri selinux 


selinux cunoaşte trei moduri: enforcing (constrîns) permissive (permisiv) şi 
disabled (dezactivat). Modul constrâns va forța politici, şi poate nega accesul 
bazat pe reguli selinux. Modul permisiv nu va forța politici, dar poate totuşi 
să jurnalizeze acţiuni care ar fi negate în modul constrâns. Modul dezactivat 
dezactivează selinux. 


20.3. activare selinux 


Pe RHEL puteți folosi utilitarul GUI pentru a activa selinux, pe Debian există 
comanda selinux-activate. Activarea cere un reboot. 


rootedeb503:-4 selinux-activate 
Activating SE Linux 


Searching for GRUB installation directory ... found: /boot/grub 

Searching for default file ... found: /boot/grub/default 

Testing for an existing GRUB menu.lst file ... found: /boot/grub/menu.Ist 
Searching for splash image ... none found, skipping ... 

Found kernel: /boot/vmlinuz-2.6.26-2-686 

Updating /boot/grub/menu.Ilst ... done 


SE Linux is activated. You may need to reboot now. 
20.4. getenforce 


Folosiţi getenforce pentru a verifica dacă SELinux este constrâns, dezactivat 
sau permisiv. 


[rooterhel55 -]t getenforce 
Permissive 


Fişierul /selinux/enforce conține 1 cînd e constrîns, şi 0 când modul permisiv 
este activ. 


rootâfedora13 -4 cat /selinux/enforce 
lrootefedoral3 = 
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20.5. setenforce 


Puteți folosi setenforce pentru a schimba între statusul permisiv sau constrîns 
odată ce selinux este activat. 


[rooterhel55 -]t setenforce Enforcing 
[rooterhel55 -]t getenforce 

Enforcing 

[rooterhel55 -]4 setenforce Permissive 
[rooterhel55 -]t getenforce 

Permissive 


20.6. sestatus 
Puteți vedea status-ul şi politica curente selinux cu comanda sestatus. 


[rooterhel55 -]4 sestatus 


SELinux status: enabled 
SELinuxfs mount: /selinux 
Current mode: permissive 
Mode from config file: permissive 
Policy version: 21 


Policy from config file:  targeted 
20.7. jurnalizare 


Verificaţi dacă syslog este executat şi activat la boot pentru a autoriza 
jurnalizarea mesajelor negate în /var/log/messages. 


[rooterhel55 -]t chkconfig --list syslog 
syslog o:o0ff 1L:off 2:0n 3:0n 4:0n 5:on 6:0ff 


Verificaţi dacă auditd este executat şi activat la boot pentru a autoriza 
jurnalizarea mesajelor mai uşor de citit în /var/log/audit/audit. log. 


[rooterhel55 -]t chkconfig --list auditd 
auditd 0:o0ff 1:0ff 2:0n 3:0n 4:on 5:on 6:0ff 


Dacă nu este activat, atunci executați chkconfig --levels 2345 auditd on şi 
service auditd start. 


[rootarhel55 -]+ service auditd status 
auditd (pid 1660) is running... 
[rooterhel55 =] service syslog status 
syslogd (pid 1688) is running... 

klogd (pid 1691) is running... 


Fişierul de jurnalizare /var/log/messages vă va spune că selinux este 
dezactivat. 


rootedeb503:-+ grep -i selinux /var/log/messages 
Jun 25 15:59:34 deb503 kernel: | 0.084083] SELinux: Disabled at boot. 


Sau că este autorizat. 


rootedeb503:-4 grep SELinux /var/log/messages | grep -i Init 
Jun 25 15:09:52 deb503 kernel: | 0.084094] SELinux: Initializing. 
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20.8. DAC sau MAC 


Permisiunile Standard Unix folosesc Discretionary Access Control (DAC) (Control 
de Acces Discrețional) pentru a seta permisiuni asupra fişierelor. Asta înseamnă 
că un utilizator care deține un fişier, poate să-l facă să fie citit de către 
toată lumea tastînd chmod 777$file. 


Cu selinux kernel-ul va constrînge Mandatory Access Control (MAC) (Control de 
Acces Mandatoriu) care controlează în mod strict ce procese sau şiruri poate 
face cu fişiere (înlocuind DAC). Procesele sînt restrînse de către kernel la 
accesul minim pe care ele le cer. 


20.9. ls -Z 


Pentru a vedea permisiunile DAC asupra unui fişier, folosiți Is -l pentrua 
afişa proprietarul utilizator şi grup şi permisiunile (aici rw-r-r--). 


rootâdeb503:-/selinuxt touch test42.txt 
rootQdeb503:-/selinuxt Is -l 

total 0 

-rw-r--r-- 1 root root 0 2010-06-25 15:38 test42.txt 


Pentru permisiunile MAC există o nouă opțiune -Z adăugată la ls. Ieşirea arată 


un utilizator selinux numit unconfined_u, un rol numit object_r, un tip numit 
unconfined_home_t, şi un nivel S0. 


rootâdeb503:-/selinuxt Is -Z 
unconfined_u:object_r:unconfined_home_t:s0 test42.txt 


20.10. /selinux 


Cînd SELinux este activ, există un nou sistem virtual de fişier numit /selinux. 
(Î1 puteţi compara cu /proc sau /dev). 


[rootQRHEL5 -]% 1s /selinux/ 


access context  mls 

avc create null 
booleans disable policyvers 
checkreqgprot enforce relabel 
commit_pending_bools Load user 
compat_net member 


Deşi unele fişiere în /selinux apar cu mărimea 0, ele deseori conțin o valoare 
boolean. Verificaţi /selinux/enforce pentru a vedea dacă SELinux se execută în 
modul enforced. 


[rootQRHEL5 -]% 1s -1 /selinux/enforce 

-rw-r--r-- 1 root root 0 Apr 29 08:21 /selinux/enforce 
[rootQRHEL5 -]% echo 'cat /selinux/enforce? 

1 


20.11. /etc/selinux/config 


Fişierul de configurație principal pentru selinux este /etc/selinux/config. Cînd 
este în modul permisiv, fişierul arată astfel. 
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[rooterhel55 =] more /etc/selinux/config 
+ This file controls the state of SELinux on the system. 
4 SELINUX= can take one of these three values: 


ii enforcing - SELinux security policy is enforced. 
ii permissive - SELinux prints warnings instead of enforcing. 
ii disabled - SELinux is fully disabled. 


SELINUX=permissive 

4 SELINUXTYPE= type of policy in use. Possible values are: 

ii targeted - Only targeted network daemons are protected. 
ii strict - Full SELinux protection. 

SELINUXTYPE=targeted 


20.12. identitate 
Identitatea SELinux a unui utilizator este distinctă de user ID. 0 identitate 


este parte a contextului securității, şi (prin domenii) determină ce puteţi 
face. Captura de ecran arată utilizatorul root avînd identitatea user_u. 


[rooterhel55 -]4 id -Z 
user_u:system_r:unconfined_t 


20.13. tip (sau domeniu) 
domeniul selinux este contextul securității unui proces. Un domeniu selinux 
determină ce poate face un proces. Captura de ecran de mai jos arată execuția 


init în domeniul init_t şi mingetty rulînd în domeniul gettyt. 


[rooteRHEL5 -]+ ps fax -Z | grep iînit_t 


system_u:system_r:init_t 1 ? Ss 0:01 init [3] 
[rooteRHEL5 =]+ ps fax -Z | grep getty_t 

system_u:system_r:getty_t 2941 ttyl Ss+ 0:00 /sbin/mingetty ttyl 
system_u:system_r:getty_t 2942 tty2 Ss+ 0:00 /sbin/mingetty tty2 


tipul selinux este similar cu un domeniu selinux, dar face referire la 
directoare şi fişiere în loc de procese. 


20.14. rol 

rolul selinux defineşte domeniile care pot fi utilizate. Unui rol îi este 
interzis să intre într-un domeniu, doar dacă rolul este autorizat în mod 
explicit să facă asta. 

20.15. context securitate 

Combinația de identitate, rol şi domeniu sau tip constituie contextul 


securității selinux. Comanda id va afişa contextul securității în formatul 
identitate: rol: domeniu: . 


[pauleRHEL5 =]$ id | cut -d' ! -f4 
context=user_u:system_r:unconfined_t 


Comanda Is -Z arată contextul securității pentru un fişier în formatul 
identitate:rol:tip. 


[pauleRHEL5 =]$ ls -Z test 
-rw-rw-r-- paul paul user_u:object_r:user_home_t test 


Contextul securităţii pentru procesele vizibile în /proc definesc şi tipul 
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(fişierului în /proc) şi domeniul (procesului care se execută). Să ne uităm la 
procesul init şi /proc/1/. 


Procesul init se execută în domeniul init_t. 


[rooteRHEL5 -]4 ps -ZC init 
LABEL PID TTIY TIME CMD 
system_u:system_r:init_t 1 ? 00:00:01 init 


Directorul /proc/1/, care identifică procesul init, are tipul init_t. 


[rootQeRHEL5 =-]4 Is -Zd /proc/1/ 
dr-xr-xr-x root root system_u:system_r:init_t /proc/1/ 


Nu este o coincidență că domeniul procesului init şi tipul /proc/1/ sînt ambele 
init_t. 


Nu încercați să folosiți chcon pe /proc! Nu va funcționa. 

20.16. tranziție 

O tranziție selinux (cunoscută şi sub denumirea de etichetare selinux) determină 
contextul securităţii care va fi desemnat. 0 tranziție a proceselor domeniu este 
folosită cînd executați un proces. 0 tranziție a tipului de fişier se petrece 
cînd creați un fişier. 


Un exemplu a tranziției tipului de fişier. 


[pauleRHEL5-]$ touch test 
[pauleRHEL5=-]$ touch /tmp/test 
[pauleRHEL5-]$ Is -Z test 


—rw=rw-r== paul paul user_u:object_r:user_home_t test 
[pauleRHEL5-]$ Is -Z /tmp/test 
-rw=rw-r-- paul paul user_u:object_r:tmp_t /tmp/test 


[pauleRHEL5-]$ 
20.17. politică 


Toate se leagă într-o politică selinux. Politicile definesc accesul utilizator 
la roluri, accesul rolurilor la domenii şi accesul domeniilor la tipuri. 


20.18. atribute extinse 


Atribute extinse sînt folosite de selinux pentru a stoca contextele de 
securitate. Aceste atribute pot fi văzute cu Is cînd selinux se execută. 


[rootQRHEL5 home]+ Is --context 

drwx-—===— paul paul system _u:object_r:user_home_dir_t paul 
drwxr-xr-x root root user_u:object_r:user_home_dir_t project42 
drwxr-xr-x root root user_u:object_r:user_home_dir_t project55 
[rootâRHEL5 home]t Is -Z 

drwx--——-- paul paul system_u:object_r:user_home_dir_t paul 
drwxr-xr-x root root user_u:object_r:user_home_dir_t project42 
drwxr-xr-x root root user_u:object_r:user_home_dir_t project55 
[rootQRHEL5 home]+ 


Cînd SELinux nu se execută, atunci getfattr este utilitarul de folosit. 
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[rooteRHEL5 etc]t getfattr -m . -d hosts 
+ file: hosts 
security.selinux="system_u:object_r:etc_t:s0l000" 


20.19. procesul securității contextului 


O nouă opțiune este adăugată la ps pentru a vedea procesele securității 
contextului selinux. 


[rootQRHEL5 etc] ps -ZC mingetty 


LABEL PID TTY TIME CMD 
system_u:system_r:getty_t 2941 ttyl 00:00:00 mingetty 
system_u:system_r:getty_t 2942 tty2 00:00:00 mingetty 


20.20. chcon 


Folosiţi chcon pentru a schimba contextul securității selinux. 
Acest exemplu arată cum să utilizăm chcon pentru a schimba tipul unui fişier. 


[rooterhel55 -]t Is -Z /var/wmm/html/test42.txt 

-rw-r--r-- root root user_u:object_r:httpd_sys_content_t 

/var /wmm/html/test42.txt 

[rooterhel55 -]t chcon -t samba_share_t /var/wwm/html/test42.txt 
[rooterhel55 -]t Is -Z /var/wmm/html/test42.txt 

-rw-r--r-- root root user_u:object_r:samba_share_t  /var/wuwm/html/test42.txt 


20.21. un exemplu practic 
webserverul apache este prin default setat cu selinux. Următoarea captură de 


ecran arată că orice fişier creat în /var/wwm/html prin default va lua tipul 
http_sys _content_t. 


[rooterhel55 -]t touch /var/wmm/html/test42.txt 
[rooterhel55 -]t Is -Z /var/wmm/html/test42.txt 
-rw-r--r-- root root user_u:object_r:httpd_sys_content_t 
/var /wmm/html/test42.txt 


Fişierele create în altă parte nu primesc acest tip. 


[rootarhel55 -]t touch /root/test42.txt 
[rootarhel55 -]4 1s -Z /root/test42.txt 
-rw-r--r-- root root user_u:object_r:user_home_t /root/test42.txt 


Ne asigurăm că apache se execută. 
[rooterhel55 =] service httpd start [ OK ] 
Va funcționa? Da, cu siguranță. 


[rooterhel55 -]t wget http://localhost/test42.txt 
--2010-06-26 15:40:28-- http://localhost/test42.txt 
Resolving localhost... 127.0.0.1 

Connecting to localhost|127.0.0.1|:80... connected. 
HTTP request sent, awaiting response... 200 OK 


De ce funcționează? Pentru că apache se execută în domeniul httpdt. 


171 


[rooterhel55 -]+ ps -ZC httpd 


LABEL PID TTY TIME CMD 

user_u:system_r:httpd_t 2979 ? 00:00:07 httpd 
user_u:system_r:httpd_t 2981 ? 00:00:00 httpd 
user_u:system_r:httpd_t 2982 ? 00:00:00 httpd 
user_u:system_r:httpd_t 2983 ? 00:00:00 httpd 
user_u:system_r:httpd_t 2984 ? 00:00:00 httpd 
user_u:system_r:httpd_t 2985 ? 00:00:00 httpd 
user_u:system_r:httpd_t 2986 ? 00:00:00 httpd 
user_u:system_r:httpd_t 2987 ? 00:00:00 httpd 
user_u:system_r:httpd_t 2988 ? 00:00:00 httpd 


Astfel haideţi să încercăm să schimbăm tipul selinux acestui fişier. 


[rootarhel55 -]4 chcon -t samba_share_t /var/wwm/html/test42.txt 
[rooterhel55 =] Is -Z /var/wwm/html/test42.txt 
-rw-r--r-- root root user_u:object_r:samba_share_t /var /wmm/html/test42.txt 


Există două posibilități acum: fie funcţionează, fie eşuează. Funcționează cînd 
selinux este în modul permisiv, eşuează cînd este în modul constrâns. 


[rooterhel55 -]t wget http://localhost/test42.txt 
--2010-06-26 15:41:33-- http://localhost/test42.txt 
Resolving localhost... 127.0.0.1 

Connecting to localhost|127.0.0.1|:80... connected. 
HTTP request sent, awaiting response... 200 OK 


Fişierul-jurnal arată în mod clar că ar fi eşuat în modul constîns. 


[rooterhel55 -]t grep test42 /var/log/audit/audit. log 

type=AVC msg=audit(1277559693.656:105): avc: denied [ getattr > for N 
pid=2982 comm="httpd" path="/var/wwu/html/test42.txt'" dev=dm-0 îno0=1974| 
99 scontext=user_u:system_r:httpd_t:s0 tcontext=user_u:object_r:samba_si 
hare_t:s0 tclass=file 

type=AVC msg=audit(1277559693.658:106): avc: denied î read ] for pidi 
=2982 comm="httpd" name="test42.txt" dev=dm-0 in0=197499 scontext=user_| 
u:system_r:httpd_t:s0 tcontext=user_u:object_r:samba_share_t:s0 tclass=| 
file 
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Partea IX. Apendice 
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Apendice A. clonare 
A.1. Despre clonare 


Puteți avea scopuri distincte pentru a clona un server. De exemplu o clonă poate 
fi un sistem backup cold iron folosit pentru recuperarea manuală a unui dezastru 
făcut de un serviciu. Sau o clonă poate fi creată pentru a servi drept test de 
lucru. Sau ați dori să faceți un server aproape identic. Să ne uităm la cîteva 
modalități offline şi online de a crea o clonă a unui server Linux. 


A.2. Despre clonare offline 

Termenul clonare offline este folosit cînd închideţi serverul Linux care 
funcționează pentru a crea o clonă. Această metodă este uşoară de vreme ce nu 
trebuie să luăm în considerare fişiere deschise şi nu trebuie să sărim peste 
sisteme de fişier virtuale ca /dev sau /sys. Metoda de clonare offline poate fi 
împărțită în aceşti trei paşi: 

1. Butarea serverului sursă şi țintă cu un CD butabil. 

2. Partiţionarea, formatarea şi montarea volumelor pe serverul țintă. 

3. Copierea fişierelor/partiţțiilor de la sursă la ţintă pe reţea. 

Primul pas e trivial. Al doilea pas este explicat în capitolul Managementul 
Disk-ului. Pentru al treilea pas, puteți folosi o combinație de ssh sau netcat 
cu cp, dd, dump şi restore, tar, cpio, rsync sau chiar cat. 

A.3. Exemplu clonare offline 

Avem un server Red Hat Enterprise Linux 5 funcțional, şi dorim o copie perfectă 
a lui pe un hardware mai nou. Primul lucru care este de făcut este să descoperim 


layout-ul disk-ului. 


[rooteRHEL5 -]+ df -h 


Fi lLesystem Size Used  Avail Use% Mounted on 
/dev/sda2 15G  4.5G 9.36 33% / 
/dev/sdal 99M 31M 64M 33% /boot 


Partiţia /boot este mică dar îndeajuns de mare. Dacă creăm o partiție identică, 
atunci dd ar trebui să fie o opțiune bună pentru clonare. Să presupunem că 
partiția / are nevoie să fie lărgită pe sistemul țintă. Atunci cea mai bună 
opțiune este să utilizăm o combinaţie de comenzi dump şi restore. Țineţi minte 
că dd copie blocuri, şi dump/restore copie fişiere. 


Primul pas pe care trebuie să-l facem este să butăm serverul țintă cu un CD live 
şi să partiţionăm disk-ul țintă. Pentru a face asta folosim CD-ul de instalare 
Red Hat Enterprise Linux 5. La promptul CD boot tastăm "linux rescue". Cd-ul 
butează într-o consolă root unde putem folosi fdisk pentru a descoperi şi 
pregăti disk-urile ataşate. 


Cînd partiţiile sînt create şi au sistemul lor de fişiere, atunci putem folosi 
dd pentru a copia partiția /boot. 


ssh rootâ192.168.1.40 "dd if=/dev/sdal" | dd of=/dev/sdal 


Apoi folosim combinația dump şi restore pentru a copia partiţia /. 
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mkdir /mnt/x 

mount /dev/sda2 /mnt/x 

cd /mnt/x 

ssh rootâ192.168.1.40 "dump -0 -f - /" | restore -r -f — 
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Apendice B. Licenţă (în limba română) 


Licența GNU Pentru Documentaţia Liberă 


Versiunea 1.3, 3 Noiembrie 2008 
Drepturi de autor 2000, 2001, 2002, 2007, 2008 Fundația Soft-ului Liber, Inc. 


Oricui îi este permisă copierea şi distribuirea de copii identice ale acestui 
document, dar fără modificarea lui. 


0. PREAMBUL 


Scopul acestei Licenţe este de a conferi „gratuitate” unui manual, colecţii de 
texte, sau altui document funcţional și folositor, în sensul libertății: de a 
asigura tuturor permisiunea de copiere şi redistribuire, cu sau fără modificări, 
în scopuri comerciale şi necomerciale. Ca scop secundar, această Licenţă rezervă 
autorului şi editorului dreptul de a fi creditați pentru munca lor, atît timp 
cît nu sunt responsabili pentru modificările efectuate de către alţii. 


Acestă Licenţă conferă un fel de „obligaţii”, ceea ce înseamnă că lucrările 
derivate dintr-un document trebuie să fie și ele libere, la rîndul lor. Această 
Licenţă este inspirată de Licenţa Publică Generală GNU, care este o licență 
similară, concepută pentru a acoperi softul liber. 


Am creat această Licenţă pentru a fi de folos manualelor pentru softul liber, 
deoarece un soft liber necesită o documentație liberă: un program trebuie 
însoțit de manuale care oferă aceiaşi libertate de folosire ca şi softul. Acestă 
Licență nu este limitată, însă, la manualele pentru soft; ea poate fi folosită 
pentru textul oricărei lucrări, indiferent de subiect sau de modul de publicare. 
Această Licenţă este recomandată în principal pentru lucrări care servesc drept 
referință sau au fost scrise în scop de instruire. 


1. APLICABILITATE ŞI DEFINIȚII 


Această Licenţă se aplică oricărei lucrări sau manual, în orice mediu, care 
conține o notă, inclusă de către deținătorul dreptului de autor, care permite 
distribuția în termenii acestei Licenţe. Această notă conferă dreptul universal, 
fără indemnizaţie şi nelimitat ca durată de a folosi lucrarea în condiţiile de 
faţă. Termenul Document, de mai jos, se referă la un astfel de manual sau 
lucrare. Orice membru din public este un beneficiar al acestei Licenţe şi va fi 
desemnat prin termenul dumneavoastră. Se consideră, în mod automat, că aţi 
acceptat termenii acestei Licenţe, în urma copierii, modificării sau 
distribuirii unei lucrări într-un mod care necesită permisiunea autorului, în 
condițiile legii drepturilor de autor. 


O „Versiune Modificată” a Documentului este orice lucrare conținînd Documentul 
sau o porțiune de-a lui, copiată identic sau cu modificări şi/sau tradusă într-o 
altă Limbă. 


O „Secţiune Secundară” este o anexă cu titlu, sau o secțiune menționată în 
cuprins care are ca scop exclusiv descrierea relației editorilor sau a autorilor 
Documentului cu subiectul Documentului (sau cu aspecte conexe) şi care nu 
conține referiri directe la subiectul Documentului. (Astfel, dacă Documentul 
este în parte manual de matematică, o Secţiune Secundară nu poate conține deloc 
explicații matematice.) Poate exista doar o conexiune istorică cu subiectul și 
cu problemele înrudite cu subiectul, ori pot fi prezentate puncte de vedere 
legale, comerciale, filozofice, etice sau politice legate de acesta. 


„secţiunile Neschimbabile” sînt anumite Secţiuni Secundare ale căror titluri 
sînt specificate ca fiind acele titluri de Secţiuni Neschimbabile din nota ce 
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permite distribuția Documentului sub acoperirea acestei Licenţe. Dacă o secțiune 
nu este conformă cu definiția de mai sus a unei Secţiuni Secundare atunci ea nu 
poate fi desemnată ca fiind Neschimbabilă. Documentul poate să nu conțină 
Secţiuni Neschimbabile. Dacă Documentul nu specifică vreo Secţiune Neschimbabilă 
atunci se consideră că nu există nici una. 


„Textele De Copertă” sînt anumite pasaje scurte de text care sunt listate ca 
Texte Pentru Coperta I sau ca Texte Pentru Coperta IV în nota care specifică 
distribuirea Documentului sub acoperirea acestei Licenţe. Un Text Pentru Coperta 
I poate avea cel mult 5 cuvinte, iar un Text Pentru Coperta IV poate avea cel 
mult 25 de cuvinte. 


O copie „Transparentă” a Documentului este o copie în format electronic, 
reprezentată într-un format ale cărui specificații sunt disponibile publicului, 
fiind uşor de modificat cu ajutorul unui editor de text generic sau (pentru 
imagini compuse din pixeli) cu un editor grafic generic ori (pentru desene) cu 
un editor larg răspîndit de grafică vectorială, şi care poate fi folosit ca 
intrare în procesoarele de text sau de transformare automată în diverse formate 
adecvate ca intrare pentru procesoarele de text. 0 copie făcută într-un format 
de fişier Transparent dar care, prin prezența sau absența anumitor elemente 
specifice formatului, descurajează sau împiedică modificările ulterioare, nu 
reprezintă o copie Transparentă. Un format de imagine nu este Transparent dacă 
este folosit pentru a reprezenta o cantitate substanțială de text. 0 copie care 
nu este „Transparentă” se numește „Opacă”. 


Exemple de formate compatibile cu copiile Transparente: textul ASCII fără 
marcaje, formatul de intrare Texinfo, formatele de intrare LaTeXx, SGML şi XML 
folosind un DTD public, HTML simplu şi standard, fişierele PostScript şi PDF 
modificabile. Exemple de formate Transparente pentru imagine: PNG, XCF şi JPG. 
Formatele Opace includ formate de text ce pot fi citite şi editate doar de 
procesoare de text proprietare, SGML şi XML pentru care DTD-ul şi/sau uneltele 
de procesare nu sunt disponibile, HTML generat automat, documentele PostScript 
şi PDF produse de diverse procesoare de text doar în scopul printării/afişării. 


„Pagina de Titlu” înseamnă, pentru o carte tipărită, pagina cu titlul şi 
paginile următoare, necesare pentru a prezenta, lizibil, materialul care trebuie 
tipărit, conform acestei Licenţe, pe Pagina de Titlu. Pentru lucrări care nu au 
o pagină cu titlu propriu-zisă, „Pagina de Titlu” este textul aflat lîngă 
principala apariție a titlului lucrării, precedînd începutul corpului 
Documentului. 


„Editorul” reprezintă orice persoană sau entitate care distribuie copii ale 
documentului pentru public. 


O secțiune „Numită XYZ” este o subunitate a Documentului, al cărei titlu este, 
fie XYZ, fie conține XYZ în paranteze, după textul care traduce XYZ în altă 
limbă. (Aici XYZ înlocuieşte nume specifice ce vor fi menţionate mai jos, ca de 
exemplu „Mulțumiri”, „Dedicații”, „Giruri” sau „Istorie”.) Pentru a „Păstra 
Titlul” unei astfel de secțiuni atunci cînd modificaţi Documentul înseamnă că va 
rămîne o secţiune „Numită XYZ”, conform acestei definiţii. 


Documentul poate include Limitări de Responsabilitate ataşate notificării care 
afirmă că această Licenţă se aplică Documentului. Acestea se consideră a fi 
incluse prin referință în această Licenţă, dar numai cu privire la limitările de 
responsabilitate: orice alte implicaţii pe care aceste Limitări de 
Responsabilitate le-ar putea avea sînt nule şi nu au nici un efect asupra 
înțelesului acestei Licenţe. 
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2. COPII IDENTICE 


Puteți copia şi distribui Documentul pe orice mediu, fie comercial sau 
necomercial, atît timp cît această Licență, notificările de drepturi de autor şi 
notificarea de licenţă care spune că această Licenţă se aplică acestui Document, 
sînt reproduse în toate copiile, şi atîta timp cît nu adăugaţi nici un fel de 
altă condiţie în afară de cele prezente în această Licență. Nu aveţi dreptul să 
luați măsuri tehnice de a obstrucţționa sau controla citirea sau recopierea 
copiilor pe care le faceți sau le distribuiți. Aveţi totuşi dreptul să acceptaţi 
compensații în schimbul copiilor. Dacă distribuiți un număr suficient de mare de 
copii, atunci trebuie să respectați şi condițiile din secțiunea 3. 


Aveţi, de asemenea, dreptul să împrumutaţi copii în aceleași condiţii ca cele de 
mai sus, și aveți dreptul să afișați copii. 


3. COPIEREA ÎN CANTITĂȚI MARI 


Dacă publicați copii tipărite (sau copii în medii care folosesc de obicei 
coperţi tipărite) ale Documentului, în număr mai mare de 100 și dacă notificarea 
de licență a Documentului cere Texte de Copertă, trebuie să includeți copiile pe 
coperţi care să conțină, clar și lizibil, toate aceste Texte de Copertă: Textele 
Pentru Coperta I pe coperta I și Texte Pentru Coperta IV pe coperta IV. Ambele 
coperţi trebuie de asemenea să vă identifice în mod clar și lizibil ca editor al 
respectivelor copii. Coperta I trebuie să prezinte titlul în întregime, cu toate 
cuvintele din titlu la fel de vizibile și proeminente. Puteţi adăuga alte 
materiale pe copertă în plus. Copierea cu modificările limitate la coperţi, atît 
timp cît satisfac aceste condiţii, pot fi tratate în toate celelalte aspecte ca 
și copii identice. 


Dacă textele necesare pentru oricare dintre coperţi sunt prea voluminoase pentru 
a încăpea în mod lizibil, trebuie să puneţi primele rînduri (atîtea cît încap în 
mod rezonabil) pe coperta efectivă și să continuaţi cu restul pe pagini 
adiacente. 


Dacă publicați sau distribuiți copii Opace ale Documentului în număr mai mare de 
100, trebuie ori să includeți cîte o copie Transparentă în format electronic 
împreună cu fiecare copie Opacă, ori să specificaţi în sau împreună cu fiecare 
copie Opacă o locaţie din reţeaua electronică la care publicul general care 
folosește rețeaua să aibă acces pentru a descărca, folosind un protocol standard 
public, copii complete, Transparente ale documentului, fără adăugarea oricărui 
material adițional. Dacă folosiți a doua opţiune trebuie să faceți demersuri 
rezonabil de prudente ca atunci cînd începeţi distribuirea copiilor Opace să vă 
asiguraţi că această copie Transparentă va rămîne accesibilă, în acest fel, la 
locaţia respectivă timp de cel puţin un an după distribuţia ultimei copii Opace 
(în mod direct sau prin agenți ori distribuitori) a respectivei ediții pentru 
public. 


Se cere, dar nu în mod necesar, să contactaţi autorii Documentului cu o perioadă 
bună înainte de a distribui orice cantitate mare de copii, pentru a le da ocazia 
să vă pună la dispoziție o versiune actualizată a Documentului. 


4. MODIFICĂRI 


Puteți copia și distribui o Versiune Modificată a Documentului în condițiile 
secţiunilor 2 şi 3 de mai sus, cu condiţia de a acoperi Versiunea Modificată sub 
exact această Licenţă, cu Versiunea Modificată ținînd locul Documentului, astfel 
licenţiind distribuirea și modificările Versiunii Modificate oricui intră în 
posesia unei copii ale acesteia. în plus, trebuie să faceţi următoarele lucruri 
în Versiunea Modificată: 


* A, Folosiţi în Pagina de Titlu (și pe coperţi, dacă există) un titlu diferit 
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de cel al Documentului, și de versiunile sale anterioare (care trebuie, dacă 
există, să fie listate în secţiunea de Istorie a Documentului). Puteţi folosi 
același titlu ca o versiune anterioară dacă editorul original al acelei copii vă 
dă permisiunea. 

* B, Listați pe Pagina de Titlu, ca autori, una sau mai multe dintre persoanele 
sau entitățile responsabile în calitate de autori pentru modificările Versiunii 
Modificate, împreună cu cel puţin cinci dintre autorii principali ai 
Documentului (toți autorii principali, dacă are mai puțin de cinci), în afară de 
cazul că aceștia vă eliberează de această obligație. 

* C. Includeţi pe Pagina de Titlu numele editorului Versiunii Modificate în 
calitate de editor. 

* D, Păstrați toate notificările de drepturi de autor ale Documentului. 

* E. Adăugaţi o notificare de drepturi de autori relevantă pentru modificările 
dumneavoastră adiacent celorlalte notificări de drepturi de autor. 

* F. Includeţi, imediat după notificările de drepturi de autor, o notificare de 
licenţă dînd permisiune publică de a folosi Versiunea Modificată în condiţiile 
acestei Licenţe, sub forma prezentată în Apendicele de mai jos. 

* G, Păstrați în acea notificare de licenţă lista integrală a Secţiunilor 
Neschimbabile și Textele de Copertă necesare, date în notificarea de licenţă a 
Documentului. 

* H. Includeţi o copie nealterată a acestei Licenţe. 

* TI, Păstrați secţiunea Numită „Istorie”, păstraţi-i Titlul și adăugaţi-i un 
element care să indice măcar titlul, anul, noii autori și editorul Versiunii 
Modificate așa cum este dat pe Pagina de Titlu. Dacă nu există o secțiune numită 
„Istorie” în Document, creaţi una în care indicaţi titlul, anul, autorii și 
editorul Documentului așa cum este dat pe Pagina de Titlu al acestuia și apoi 
adăugaţi un element care să descrie Versiunea Modificată așa cum a fost cerut în 
fraza precedentă. 

* JI. Păstraţți locația de reţea, dacă există, dată în Document pentru acces 
public la o copie Transparentă a Documentului, cît și locaţiile de reţea date în 
Document pentru versiunile mai vechi pe care s-a bazat acesta. Acestea pot fi 
incluse în secţiunea Numită „Istorie”. Puteți omite locaţia de reţea a unei 
lucrări care a fost publicată cu cel puțin patru ani înainte de Documentul în 
sine, sau dacă editorul original al versiunii la care se referă vă dă 
permisiunea. 

* K. Pentru orice secţiune Numită „Mulţumiri” sau „Dedicaţii” păstraţi Titlul 
secțiunii și păstraţi în secțiunile respective toată substanța și tonul 
mulțumirilor și/sau dedicaţiilor fiecărui contribuitor. 

* L, Păstraţi toate Secţiunile Neschimbabile ale Documentului, nealterate ca 
text și ca titluri. Numerotarea secțiunilor sau echivalentul numerotării nu sunt 
considerate ca făcînd parte din titlurile secțiunilor. 

* M. Ştergeţi orice secțiune Numită „Giruri”. 0 astfel de secțiune nu poate fi 
inclusă în Versiunea Modificată. 

* N. Nu modificaţi titlul nici unei secțiuni existente pentru a fi numită 
„Giruri” sau pentru a intra în conflict cu vreo Secţiune Neschimbabilă. 

* 0, Păstrați toate Limitările de Responsabilitate. 


Dacă Versiunea Modificată include secțiuni noi incluse în titlu sau anexe care 
se califică drept Secţiuni Secundare și nu conțin material copiat din Document, 
aveți dreptul la alegerea dumneavoastră să numiți unele sau toate acestea ca 
fiind Neschimbabile. Pentru a face aceasta, adăugaţi-le titlurile la lista de 
Secţiuni Neschimbabile în notificarea de licență a Versiunii Modificate. Aceste 
titluri trebuie să fie distincte faţă de toate celelalte titluri de secțiune. 


Puteți adăuga o secţiune Numită „Giruri” doar dacă aceasta conține numai 
girurile a diverse entităţi asupra Versiunii Modificate — de exemplu recenzii 
sau faptul că textul a fost aprobat de o organizație ca fiind o definiţie 
autoritară a unui standard. 


Puteți adăuga un pasaj de cel mult cinci cuvinte ca Text Pentru Coperta 1 și un 
pasaj de cel mult 25 de cuvinte ca Text Pentru Coperta IV la sfârșitul Textelor 
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De Copertă în Versiunea Modificată. Numai un singur pasaj poate fi adăugat la 
Textul Pentru Coperta I și unul la Textul Pentru Coperta IV de către (sau prin 
aranjament cu) orice entitate. Dacă Documentul conţine deja texte de copertă 
pentru coperta respectivă, adăugat în prealabil de dumneavoastră sau prin 
aranjament cu aceeași entitate în numele căreia acţionaţi, atunci nu puteți 
adăuga un altul, însă puteţi să-l înlocuiţi pe cel vechi numai cu permisiunea 
explicită a editorului anterior care l-a adăugat pe cel vechi. 


Autorul (autorii) și editorul (editorii) Documentului nu vă dau prin această 
Licență permisiunea de a le folosi numele pentru publicitate sau pentru a 
pretinde sau implica vreo girare a oricărei Versiuni Modificate. 


5. COMBINAREA DOCUMENTELOR 


Puteți combina Documentul cu alte documente acoperite de această Licenţă sub 
termenii definiţii în secțiunea 4 de mai sus pentru versiuni modificate, cu 
condiția să includeți în versiunea combinată toate Secţțiunile Neschimbabile ale 
tuturor documentelor originale, nemodificate, şi să le listați pe toate ca 
Secţiuni Neschimbabile ale versiunii combinate în notificarea de licență, cît și 
să păstraţi toate Limitările de Responsabilitate. 


Versiunea modificată nu trebuie să conțină decât o singură copie a acestei 
Licenţe, iar duplicatele identice ale Secțiunilor Neschimbabile pot fi înlocuite 
cu o singură copie. Dacă există Secţiuni Neschimbabile cu nume identice și 
conținut diferit, schimbaţi-le numele adăugând la sfârșitul titlului, în 
paranteză, ori numele autorului sau al editorului original al acelei secțiuni 
dacă acesta este cunoscut, ori un număr unic. Faceţi aceleași modificări 
respective titlurilor secţiunilor în lista de Secţiuni Neschimbabile din 
notificarea de licență a versiunii combinate. 


În versiunea combinată trebuie să combinați și toate secțiunile Numite „Istorie” 
din diversele documente originale, creînd o secțiune unică Numită „Istorie”; la 
fel trebuie să combinați și toate secțiunile Numite „Mulțumiri” cît și cele 
numite „Dedicaţii”. Trebuie să ștergeți toate secțiunile numite „Giruri”. 


6. COLECŢII DE DOCUMENTE 


Puteți crea o colecţie formată din Document și alte documente acoperite de 
această Licenţă și să înlocuiţi copiile individuale ale acestei Licenţe din 
diversele documente cu o singură copie care să fie inclusă în colecție cu 
condiția să urmați regulile acestei Licenţe pentru copii identice pentru fiecare 
document în toate celelalte privinţe. 


Puteți să extrageți un document dintr-o astfel de colecţie și să-l distribuiți 
individual sub această Licenţă cu condiția de a include o copie a acestei 
Licenţe în documentul extras și să urmaţi condiţiile acestei Licenţe în toate 
celelalte privinţe în legătură cu copiile identice ale acelui document. 


7. AGREGAREA CU LUCRĂRI INDEPENDENTE 


O compilaţie a Documentului sau a unui derivat al său cu orice document sau 
lucrare separată independentă, în sau pe un volum de stocare sau distribuire se 
numește „agregat” dacă drepturile de autor rezultate în urma compilării nu sunt 
folosite pentru a limita drepturile legale ale utilizatorilor compilației mai 
mult decît permit lucrările individuale. Cînd Documentul este inclus într-un 
agregat, această Licenţă nu se aplică celorlalte lucrări din agregat care nu 
sunt ele însele rezultate derivate ale Documentului. 


Dacă cerinţele legate de Textele de Copertă din secțiunea 3 se aplică acestor 


copii ale Documentului, atunci dacă Documentul este mai puţin de jumătate din 
întregul agregat atunci Textele de Copertă ale Documentului pot fi puse pe 
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coperţi care să separe Documentul în cadrul agregatului, sau pe un echivalent 
electronic al acestora, dacă Documentul se prezintă în format electronic. Altfel 
ele trebuie să apară pe coperţile tipărite care îmbracă întreg agregatul. 


8. TRADUCERE 


Traducerea este considerată o formă de modificare, drept care puteți distribui 
traduceri ale Documentului sub cerințele secțiunii 4. înlocuirea Secţiunilor 
Neschimbabile cu traduceri ale acestora necesită permisiune specială din partea 
celor care deţin drepturile de autor, însă puteți include traduceri ale unora 
dintre sau tuturor Secţiunilor Neschimbabile împreună cu variantele originale 
ale acestora. Puteţi include o traducere a acestei Licenţe cît și toate 
notificările de licență din Document, cât şi Limitările de Responsabilitate 
atîta timp cât includeți și versiunea originală în engleză a acestei Licenţe, 
plus versiunile originale ale respectivelor notificări de licenţă și limitări de 
responsabilitate. în cazul apariției oricăror discrepanțe între versiunea 
tradusă și versiunea originală a acestei Licenţe, a vreunei notificări de 
licenţă sau a vreunei limitări de responsabilitate, versiunea originală are 
prioritate. 


Dacă vreo secțiune din Document este Numită „Mulţumiri”, „Dedicaţii” sau 
„Istorie” cerința (din secţiunea 4) de a-i păstra Titlul (secțiunea 1) va 
necesita în mod normal schimbarea titlului în sine. 


9. REZILIERE 


Nu puteţi copia, modifica, sublicenţia sau distribui Documentul decît în 
condițiile specificate explicit în această Licenţă. Orice copiere, modificare 
sau redistribuire a Documentului în vreo altă condiţie este nulă și vă va anula 
în mod automat drepturile conferite de această Licenţă. 


Cu toate acestea, dacă încetaţi orice încălcare a acestei Licenţe, licența din 
partea titularului dreptului de autor este reinstaurată (a) cu titlu provizoriu, 
cu excepția cazului cînd titularul dreptului de autor încetează în mod explicit 
și în cele din urmă licența, și (b) permanent, în cazul în care titularul 
dreptului de autor nu vă anunţă încălcarea, prin mijloace reonabile, în termen 
de 60 de zile de la încetare. 


în plus, licența de la titularul particular al dreptului de autor este repusă 
permanent în cazul în care titularul dreptului de autor vă anunţă de încălcare 
prin mijloace rezonabile, şi este prima dată cînd aţi primit o notificare de 
încălcare a acestei Licenţe (pentru orice lucrare), din partea titularului 
dreptului de autor, și ați încetat încălcarea cu 30 de zile înainte de primirea 
notificării. 


încetarea drepturilor dumneavoastră, în conformitate cu această secțiune, nu 
încetează licențele părților care au primit copii sau drepturi de la 
dumneavoastră sub această Licență. Dacă drepturile dumneavoastră au fost 
terminate și nu s-au repus permanent, primirea unei copii ale aceluiași material 
nu vă dă nici un drept să-l folosiţi. 


10. VERSIUNI VIITOARE ALE ACESTEI LICENȚE 


Fundația Free Software Foundation poate publica, din cînd în cînd, versiuni noi, 
revizuite ale acestei Licenţe GNU pentru Documentaţia liberă. Aceste noi 
versiuni vor păstra spiritul acestei versiuni dar pot diferi în privința 
detaliilor, cu scopul de a se adresa unor noi probleme reale sau potenţiale. A 
se vedea http://wmw.gnu.org/copyleft/. 


Fiecărei versiuni ale acestei Licenţe îi este asociat un număr de versiune 
distinct. Dacă Documentul specifică un anumit număr de versiune „sau orice 
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versiune ulterioară” al acestei Licenţe, aveţi de ales între a vă conforma 
termenilor și condiţiilor ori ale versiunii specificate explicit sau ale 
oricărei variante ulterioare publicate (nu ca variantă preliminară) de către 
Free Software Foundation. Dacă Documentul nu specifică un număr de versiune al 
acestei Licenţe atunci puteţi alege orice versiune publicată (nu ca variantă 
preliminară) de către Free Software Foundation. 


11. RELICENȚIEREA 


„Site-ul de Colaborare Masivă a Multiautorilor” (sau „MMC Site”) înseamnă orice 
server wwm care publică lucrări posibil de a fi supuse drepturilor de autor şi, 
de asemenea, oferă facilități proeminente pentru oricine editează aceste 
lucrări. Un server pubic wiki este un exemplu în care oricine poate edita 
lucrări scrise. Un „Site de Colaborare Masivă a Multiautorilor” (sau „MMC Site”) 
în conținutul său înseamnă o mulțime de lucrări susceptibile de a fi supuse 
licențelor supsue site-ului MMC. 


„CC-BY-SA” înseamnă licență a Creative Commons Attribution-Share Alike 3.0 
publicată de Corporaţia Creative Commons, o corporație nonprofit cu sediul 
principal la San Francisco, California, şi deasemenea viitoarele variante de 
„obligaţii” a acestei licenţe publicată de aceeaşi organizaţie. 


„Încorporarea” înseamnă publicarea ori republicarea unui Document, în întregime 
sau în parte, ca parte a unui alt document. 


Un MMC este „eligibil pentru reautorizare” dacă este licențiat sub această 
Licenţă, și în cazul în care toate lucrările care au fost publicate mai întîi în 
această Licenţă în altă parte decît acest MMC, și, ulterior, au fost încorporate 
în totalitate sau în parte în MMC, (1) nu a avut texte de copertă sau secțiuni 
invariante, și (2) au fost astfel incluse până la 1 noiembrie 2008. 


Operatorul unui site MMC poate republica un MMC conținut în site sub CC-BY-SA în 


același loc, în orice moment înainte de 1 august 2009, cu condiția ca MMC să fie 
eligibil pentru reautorizare. 
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Apendice C. Licenţă (în limba engleză) 

GNU Free Documentation License 

Version 1.3, 3 November 2008 

Copyright 0 2000, 2001, 2002, 2007, 2008 Free Software Foundation, Inc. 


Everyone is permitted to copy and distribute verbatim copies of this license 
document, but changing it is not allowed. 


0. PREAMBLE 


The purpose of this License is to make a manual, textbook, or other functional 
and useful document "free" in the sense of freedom: to assure everyone the 
effective freedom to copy and redistribute it, with or without modifying it, 
either commercially or noncommercially. Secondarily, this License preserves for 
the author and publisher a way to get credit for their work, while not being 
considered responsible for modifications made by others. 


This License is a kind of "'copyleft", which means that derivative works of the 
document must themselves be free in the same sense. It complements the GNU 
General Public License, which is a copyleft license designed for free software. 


We have designed this License in order to use it for manuals for free software, 
because free software needs free documentation: a free program should come with 
manuals providing the same freedoms that the software does. But this License is 
not limited to software manuals; it can be used for any textual work, regardless 
of subject matter or whether it is published as a printed book. We recommend 
this License principally for works whose purpose is instruction or reference. 


1. APPLICABILITY AND DEFINITIONS 


This License applies to any manual or other work, in any medium, that contains a 
notice placed by the copyright holder saying it can be distributed under the 
terms of this License. Such a notice grants a world-wide, royalty-free license, 
unlimited in duration, to use that work under the conditions stated herein. The 
"Document", below, refers to any such manual or work. Any member of the public 
is a licensee, and is addressed as "you". You accept the license if you copy, 
modify or distribute the work in a way requiring permission under copyright law. 


A "Modified Version" of the Document means any work containing the Document ora 
portion of it, either copied verbatim, or with modifications and/or translated 
into another language. 


A "Secondary Section" is a named appendix or a front-matter section of the 
Document that deals exclusively with the relationship of the publishers or 
authors of the Document to the Document's overall subject (or to related 
matters) and contains nothing that could fall directly within that overall 
subject. (Thus, if the Document is in part a textbook of mathematics, a 
Secondary Section may not explain any mathematics.) The relationship could be a 
matter of historical connection with the subject or with related matters, or of 
legal, commercial, philosophical, ethical or political position regarding them. 


The "Invariant Sections" are certain Secondary Sections whose titles are 
designated, as being those of Invariant Sections, in the notice that says that 
the Document is released under this License. If a section does not fit the above 
definition of Secondary then it is not allowed to be designated as Invariant. 
The Document may contain zero Invariant Sections. If the Document does not 
identify any Invariant Sections then there are none. 
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The "Cover Texts" are certain short passages of text that are listed, as Front- 
Cover Texts or Back-Cover Texts, in the notice that says that the Document is 
released under this License. A Front-Cover Text may be at most 5 words, anda 
Back-Cover Text may be at most 25 words. 


A "Transparent" copy of the Document means a machine-readable copy, represented 
in a format whose specification is available to the general public, that is 
suitable for revising the document straightforwardly with generic text editors 
or (for images composed of pixels) generic paint programs or (for drawings) some 
widely available drawing editor, and that is suitable for input to text 
formatters or for automatic translation to a variety of formats suitable for 
input to text formatters. A copy made in an otherwise Transparent file format 
whose markup, or absence of markup, has been arranged to thwart or discourage 
subsequent modification by readers is not Transparent. An image format is not 
Transparent if used for any substantial amount of text. A copy that is not 
"Transparent" is called "Opaque",. 


Examples of suitable formats for Transparent copies include plain ASCII without 
markup, Texinfo input format, LaTex input format, SGML or XML using a publicly 
available DTD, and standard-conforming simple HTML, PostScript or PDF designed 
for human modification. Examples of transparent image formats include PNG, XCF 
and JPG. Opaque formats include proprietary formats that can be read and edited 
only by proprietary word processors, SGML or XML for which the DTD and/or 
processing tools are not generally available, and the machine-generated HTML, 
PostScript or PDF produced by some word processors for output purposes only. 


The "Title Page" means, for a printed book, the title page itself, plus such 
following pages as are needed to hold, legibly, the material this License 
requires to appear in the title page. For works in formats which do not have any 
title page as such, "Title Page" means the text near the most prominent 
appearance of the work's title, preceding the beginning of the body of the text. 


The "publisher" means any person or entity that distributes copies of 
the Document to the public. 


A section "Entitled XYZ" means a named subunit of the Document whose title 
either is precisely XYZ or contains XYZ in parentheses following text that 
translates XYZ in another language. (Here XYZ stands for a specific section name 
mentioned below, such as "Acknowledgements", "Dedications", "Endorsements", or 
"History".) To "Preserve the Title" of such a section when you modify the 
Document means that it remains a section "Entitled XYZ" according to this 
definition. 


The Document may include Warranty Disclaimers next to the notice which states 
that this License applies to the Document. These warranty Disclaimers are 
considered to be included by reference in this License, but only as regards 
disc laiming warranties: any other implication that these Warranty Disclaimers 
may have is void and has no effect on the meaning of this License. 


2. VERBATIM COPYING 


You may copy and distribute the Document in any medium, either commercially or 
noncommercially, provided that this License, the copyright notices, and the 
license notice saying this License applies to the Document are reproduced in all 
copies, and that you add no other conditions whatsoever to those of this 
License. You may not use technical measures to obstruct or control the reading 
or further copying of the copies you make or distribute. However, you may accept 
compensation in exchange for copies. If you distribute a large enough number of 
copies you must also follow the conditions in section 3. 


You may also lend copies, under the same conditions stated above, and you may 
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publicly display copies. 
3. COPYING IN QUANTITY 


If you publish printed copies (or copies in media that commonly have printed 
covers) of the Document, numbering more than 100, and the Document's license 
notice requires Cover Texts, you must enclose the copies in covers that carry, 
clearly and legibly, all these Cover Texts: Front-Cover Texts on the front 
cover, and Back-Cover Texts on the back cover. Both covers must also clearly and 
legibly identify you as the publisher of these copies. The front cover must 
present the full title with all words of the title equally prominent and 
visible. You may add other material on the covers in addition. Copying with 
changes limited to the covers, as long as they preserve the title of the 
Document and satisfy these conditions, can be treated as verbatim copying în 
other respects. 


If the required texts for either cover are too voluminous to fit legibly, you 
should put the first ones listed (as many as fit reasonably) on the actual 
cover, and continue the rest onto adjacent pages. 


If you publish or distribute Opaque copies of the Document numbering more than 
100, you must either include a machine-readable Transparent copy along with each 
Opaque copy, or state in or with each Opaque copy a computer-network location 
from which the general network-using public has access to download using public- 
standard network protocols a complete Transparent copy of the Document, free of 
added material. If you use the latter option, you must take reasonably prudent 
steps, when you begin distribution of Opaque copies in quantity, to ensure that 
this Transparent copy will remain thus accessible at the stated location until 
at least one year after the last time you distribute an Opaque copy (directly or 
through your agents or retailers) of that edition to the public. 


It is requested, but not required, that you contact the authors of the Document 
well before redistributing any large number of copies, to give thema chance to 
provide you with an updated version of the Document. 


4. MODIFICATIONS 


You may copy and distribute a Modified Version of the Document under the 
conditions of sections 2 and 3 above, provided that you release the Modified 
Version under precisely this License, with the Modified Version filling the role 
of the Document, thus Licensing distribution and modification of the Modified 
Version to whoever possesses a copy of it. In addition, you must do these things 
in the Modified Version: 


* A, Use in the Title Page (and on the covers, if any) a title distinct from 
that of the Document, and from those of previous versions (which should, if 
there were any, be listed in the History section of the Document). You may use 
the same title as a previous version if the original publisher of that version 
gives permission. 

* B, List on the Title Page, as authors, one or more persons or entities 
responsible for authorship of the modifications in the Modified Version, 
together with at least five of the principal authors of the Document (all of its 
principal authors, if it has fewer than five), unless they release you from this 
requirement. 

* C, State on the Title page the name of the publisher of the Modified Version, 
as the publisher. 

* D. Preserve all the copyright notices of the Document. 

* E. Add an appropriate copyright notice for your modifications adjacent to the 
other copyright notices. 
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* F., Include, immediately after the copyright notices, a license notice giving 
the public permission to use the Modified Version under the terms of this 
License, in the form shown in the Addendum below. 

* G, Preserve in that license notice the full lists of Invariant Sections and 
required Cover Texts given in the Document's license notice. 

* H,. Include an unaltered copy of this License. 

* 1. Preserve the section Entitled "History", Preserve its Title, and add to it 
an item stating at least the title, year, new authors, and publisher of the 
Modified Version as given on the Title Page. If there is no section Entitled 
"History" in the Document, create one stating the title, year, authors, and 
publisher of the Document as given on its Title Page, then add an item 
describing the Modified Version as stated in the previous sentence. 

* J. Preserve the network location, if any, given in the Document for public 
access to a Transparent copy of the Document, and likewise the network locations 
given in the Document for previous versions it was based on. These may be placed 
in the "History" section. You may omit a network location for a work that was 
published at least four years before the Document itself, or if the original 
publisher of the version it refers to gives permission. 

* K. For any section Entitled "Acknowledgements" or "Dedications", Preserve the 
Title of the section, and preserve in the section all the substance and tone of 
each of the contributor acknowledgements and/or dedications given therein. 

* L. Preserve all the Invariant Sections of the Document, unaltered in their 
text and in their titles. Section numbers or the equivalent are not considered 
part of the section titles. 

* M. Delete any section Entitled "Endorsements". Such a section may not be 
included in the Modified Version. 

* N. Do not retitle any existing section to be Entitled "Endorsements" or to 
conflict in title with any Invariant Section. 

* 0. Preserve any Warranty Disclaimers. 


If the Modified Version includes new front-matter sections or appendices that 
qualify as Secondary Sections and contain no material copied from the Document, 
you may at your option designate some or all of these sections as invariant. To 
do this, add their titles to the list of Invariant Sections in the Modified 
Version's license notice. These titles must be distinct from any other section 
tit les. 


You may add a section Entitled "Endorsements", provided it contains nothing but 
endorsements of your Modified Version by various parties-for example, statements 
of peer review or that the text has been approved by an organization as the 
authoritative definition of a standard. 


You may add a passage of up to five words as a Front-Cover Text, and a passage 
of up to 25 words as a Back-Cover Text, to the end of the list of Cover Texts in 
the Modified Version. Only one passage of Front-Cover Text and one of Back-Cover 
Text may be added by (or through arrangements made by) any one entity. If the 
Document already includes a cover text for the same cover, previously added by 
you or by arrangement made by the same entity you are acting on behalf of, you 
may not add another; but you may replace the old one, on explicit permission 
from the previous publisher that added the old one. 


The author(s) and publisher(s) of the Document do not by this License give 
permission to use their names for publicity for or to assert or imply 
endorsement of any Modified Version. 


5. COMBINING DOCUMENTS 
You may combine the Document with other documents released under this License, 
under the terms defined in section 4 above for modified versions, provided that 


you include in the combination all of the Invariant Sections of all of the 
original documents, unmodified, and list them all as Invariant Sections of your 
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combined work in its license notice, and that you preserve all their warranty 
Disclaimers. 


The combined work need only contain one copy of this License, and multiple 
identical Invariant Sections may be replaced with a single copy. If there are 
multiple Invariant Sections with the same name but different contents, make the 
title of each such section unique by adding at the end of it, in parentheses, 
the name of the original author or publisher of that section if known, or else a 
unique number. Make the same adjustment to the section titles in the list of 
Invariant Sections in the license notice of the combined work. 


In the combination, you must combine any sections Entitled "History" in the 

various original documents, forming one section Entitled "History"; Likewise 
combine any sections Entitled "Acknowledgements", and any sections Entitled 

"Dedications". You must delete all sections Entitled "Endorsements". 


6. COLLECTIONS OF DOCUMENTS 


You may make a collection consisting of the Document and other documents 
released under this License, and replace the individual copies of this License 
in the various documents with a single copy that is included in the collection, 
provided that you follow the rules of this License for verbatim copying of each 
of the documents in all other respects. 


You may extract a single document from such a collection, and distribute it 
individually under this License, provided you insert a copy of this License into 
the extracted document, and follow this License in all other respects regarding 
verbatim copying of that document. 


7. AGGREGATION WITH INDEPENDENT WORKS 


A compilation of the Document or its derivatives with other separate and 
independent documents or works, in or on a volume of a storage or distribution 
medium, is called an "aggregate" if the copyright resulting from the compilation 
is not used to limit the legal rights of the compilation's users beyond what the 
individual works permit. When the Document is included in an aggregate, this 
License does not apply to the other works in the aggregate which are not 
themselves derivative works of the Document. 


If the Cover Text requirement of section 3 is applicable to these copies of the 
Document, then if the Document is less than one half of the entire aggregate, 
the Document's Cover Texts may be placed on covers that bracket the Document 
within the aggregate, or the electronic equivalent of covers if the Document is 
in electronic form. Otherwise they must appear on printed covers that bracket 
the whole aggregate. 


8. TRANSLATION 


Translation is considered a kind of modification, so you may distribute 
translations of the Document under the terms of section 4. Replacing Invariant 
Sections with translations requires special permission from their copyright 
holders, but you may include translations of some or all Invariant Sections in 
addition to the original versions of these Invariant Sections. You may include a 
translation of this License, and all the License notices in the Document, and 
any Warranty Disclaimers, provided that you also include the original English 
version of this License and the original versions of those notices and 
disclaimers. In case of a disagreement between the translation and the original 
version of this License or a notice or disclaimer, the original version will 
prevail. 
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If a section in the Document is Entitled "Acknowledgements", "Dedications", or 
"History", the requirement (section 4) to Preserve its Title (section 1) will 
typically require changing the actual title. 


9. TERMINATION 


You may not copy, modify, sublicense, or distribute the Document except as 
expressly provided under this License. Any attempt otherwise to copy, modify, 
sublicense, or distribute it is void, and will automatically terminate your 
rights under this License. 


However, if you cease all violation of this License, then your License froma 
particular copyright holder is reinstated (a) provisionally, unless and until 
the copyright holder explicitly and finally terminates your license, and (b) 

permanent ly, if the copyright holder fails to notify you of the violation by 

some reasonable means prior to 60 days after the cessation. 


Moreover, your license from a particular copyright holder is reinstated 
permanent ly if the copyright holder notifies you of the violation by some 
reasonable means, this is the first time you have received notice of violation 
of this License (for any work) from that copyright holder, and you cure the 
violation prior to 30 days after your receipt of the notice. 


Termination of your rights under this section does not terminate the licenses of 
parties who have received copies or rights from you under this License. If your 
rights have been terminated and not permanently reinstated, receipt of a copy of 
some or all of the same material does not give you any rights to use it. 


10. FUTURE REVISIONS OF THIS LICENSE 


The Free Software Foundation may publish new, revised versions of the GNU Free 
Documentation License from time to time. Such new versions will be similar in 
spirit to the present version, but may differ in detail to address new problems 
or concerns. See http://wmm.gnu.org/copyleft/. 


Each version of the License is given a distinguishing version number. If the 
Document specifies that a particular numbered version of this License "or any 
later version" applies to it, you have the option of following the terms and 
conditions either of that specified version or of any later version that has 
been published (not as a draft) by the Free Software Foundation. If the Document 
does not specify a version number of this License, you may choose any version 
ever published (not as a draft) by the Free Software Foundation. If the Document 
specifies that a proxy can decide which future versions of this License can be 
used, that proxy's public statement of acceptance of a version permanent ly 
authorizes you to choose that version for the Document. 


11. RELICENSING 


"Massive Multiauthor Collaboration Site" (or "MMC Site") means any World Wide 
Web server that publishes copyrightable works and also provides prominent 
facilities for anybody to edit those works. A public wiki that anybody can edit 
is an example of such a server. A "Massive Multiauthor Collaboration" (or "MMC") 
contained in the site means any set of copyrightable works thus published on the 
MMC site. 


"CC-BY-SA" means the Creative Commons Attribution-Share Alike 3.0 license 
published by Creative Commons Corporation, a not-for-profit corporation with a 
principal place of business in San Francisco, California, as well as future 
copyleft versions of that license published by that same organization. 


"Incorporate" means to publish or republish a Document, in whole or in part, 
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as part of another Document. 


An MMC is "eligible for relicensing" if it is licensed under this License, and 
if all works that were first published under this License somewhere other than 
this MMC, and subsequently incorporated in whole or in part into the MMC, (1) 
had no cover texts or invariant sections, and (2) were thus incorporated prior 
to November 1, 2008. 


The operator of an MMC Site may republish an MMC contained in the site under cCc- 


BY-SA on the same site at any time before August 1, 2009, provided the MMC is 
eligible for relicensing. 
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